Spring Security权限控制源码分析

最新推荐文章于 2023-07-18 23:09:48 发布
最新推荐文章于 2023-07-18 23:09:48 发布
阅读量1.1k 收藏 2
点赞数 3
CC 4.0 BY-SA版权
分类专栏: Spring 文章标签: SpringSecurity 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/XU906722/article/details/88918917
本文深入剖析Spring Security权限控制的流程,从FilterSecurityInterceptor入口,讲解AccessDecisionManager、AbstractAccessDecisionManager及其策略,如AffirmativeBased。同时,探讨了配置信息、用户权限与请求权限的匹配过程,以及源码中的关键方法,如doFilter、beforeInvocation、getAttributes和decide。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

流程图

在这里插入图片描述
在这里插入图片描述

类和接口介绍

  • FilterSecurityInterceptor:是整个权限判断流程的入口,包含着请求的相关信息;
  • AccessDecisionManager:是一个接口,有一个抽象实现(AbstractAccessDecisionManager)和三个具体实现(AffirmativeBased、ConsensusBased和UnanimousBased)
  • AbstractAccessDecisionManager: 该实现中维护者一组AccessDecisionVoter接口;
  • AccessDecisionVoter:对每个权限请求进行投票(Spring Security3之前的voter);
  • AffirmativeBased:积极的策略,即对于一个权限判断,不管有多少个Voter投不通过,只要有一个投票通过,该权限就通过;该策略是spring默认的判断策略;
  • ConsensusBased:共识的策略,即比较投票通过和不通过的票数,以票数最多的为准;
  • UnanimousBased:全部通过策略,即对于一个权限判断,不管有多少个投票通过,只要有一个投票不通过,该权限就不通过;
  • SecurityConfig:Spring Security的配置文件,用于配置哪些请求放行,哪些请求要经过过滤器以及tokenStoke、enhance等;
  • ConfigAttribute:FilterSecurityInterceptor会从SecurityConfig中读取配置信息,并封装成一组ConfigAttribute对象,每个ConfigAttribute对象代表着一个URL它所需要的权限;
  • Authentication:封装着当前用户所拥有的权限信息;
  • WebExpressionVoter: Spring Security3新增的voter,在web服务中它包含了所有的voter,即它投票过就通过、不过就不通过;

该流程中一共包含三组信息:1. FilterSecurityInterceptor所携带的用户请求信息,2. SecurityConfig配置的权限信息,3. Authentication当前用户所拥有的权限信息。 将这三组权限信息传递给AbstractAccessDecisionManager,它通过AccessDecisionVoter对当前请求是否拥有相应权限进行投票,spring根据设定的投票策略判断当前用户是否拥有他所请求资源的权限。

源码分析

FilterSecurityInterceptor:doFilter方法
public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring-Security源码解析(权限)
Judy-命中注定与众不同
04-11 955
这里写自定义目录标题前言自定义登陆配置Security流程UsernamePasswordAuthenticationFilterAuthenticationManager和AuthenticationProviderUserDetailsService成功总结 前言 在读这篇文章之前请先读 https://blog.youkuaiyun.com/dtttyc/article/details/88950201...
Spring-Security(一)-源码分析及认证流程
lbmydream的博客
06-06 1281
快速了解Spring Security 认证流程
Spring-Security安全权限管理手册+源码
05-27
Spring-Security安全权限管理手册+源码。此文档适合初学者,有代码,但要求初学者有spring一点经验。
SpringSecurity权限常用的代码讲解
私欲日生,如地上尘,一日不扫,便又有一层。着实用功,便见道无终穷,愈探愈深,必使精白无一毫不彻方可。
01-24 200
请大家务必仔细阅读代码中的注释, 讲解的非常详细 !!! package com.maxheng.config; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org
Spring-Security安全权限管理手册(有源码).rar
12-31
Spring Security出身名门,它是Spring的一个子项目。
spring security源码分析心得
03-08 178
看了半天的文档及源码,终于理出了spring-security的一些总体思路,spring security主要分认证(authentication)和授权(authority)。 1.认证authentication 认证主要代码在spring-security-core下的包org.springframework.security.authentication下,主类:Authe...
基于Java语言的SpringSecurity框架设计源码分析
最新发布
12-15
总体来说,基于Java语言的SpringSecurity框架设计源码分析是一次深入理解框架内部机制的宝贵机会。通过分析源码,我们不仅能够更好地理解框架的实现原理和设计思想,还能够在实际开发中灵活运用框架,进行针对性的...
Spring Security 权限控制
03-23
Spring Security 提供了多种方式来实现权限控制,包括: 1. **表达式式访问控制 (Expression-Based Access Control)**: 使用 SpEL(Spring Expression Language)来定义访问规则,如 `@PreAuthorize("hasRole('ROLE...
spring security 项目配置源码
01-13
- 通过源码分析,了解Spring Security的拦截器如何工作,以及如何自定义安全规则。 - 查看`SecurityConfig`类,这是Spring Security的核心配置,它扩展了`WebSecurityConfigurerAdapter`并覆盖了一些关键方法。 -...
Spring Security (权限访问流程 + 源码分析) (五)
959
05-15 674
文章目录1. SpringSecurity 的过滤器介绍2.SpringSecurity 基本流程3.Spring Security 权限访问流程 1. SpringSecurity 的过滤器介绍 SpringSecurity 采用的是责任链的设计模式,它有一条很长的过滤器链。现在对这条过器链的 15 个过滤器进行说明: WebAsyncManagerIntegrationFilter:将 Security 上下文与 Spring Web 中用于处理异步请求映射的 WebAsyncManager 进行集
Spring Security,没有看起来那么复杂(附源码)
半路雨歌
01-27 405
权限管理是每个项目必备的功能,只是各自要求的复杂程度不同,简单的项目可能一个 Filter 或 Interceptor 就解决了,复杂一点的就可能会引入安全框架,如 Shiro, Spring Security 等。 其中 Spring Security 因其涉及的流程、类过多,看起来比较复杂难懂而被诟病。但如果能捋清其中的关键环节、关键类,Spring Security 其实也没有传说中那么复杂。本文结合脚手架框架的权限管理实现(jboost-auth 模块,源码获取见文末),对 Spring Secur
Spring Security OAuth2.0(5):Spring Security工作原理
不积跬步,无以至千里
07-18 496
FilterChainProxy是一个代理,真正起作用的是FilterChainProxy中SecurityFilterChain所包含的各个Filter,同时这些Filter作为Bean被管理,它们是Spring Security核心,各有各的职责,但他们并不直接处理用户的认证,也不直接处理用户的授权,而是把它们交给认证管理器(AuthenticationManager)和决策管理器(AccessDecisionManager)进行处理,下图是FilterChainProxy相关类的UML图示。
AccessDeniedException: spring security 认证中的一个小坑(bug集2)
pingzhuyan的博客
01-14 818
情况: 后端测试成功,前端对接测试的时候 出现这个问题 org.springframework.security.access.AccessDeniedException: 不允许访问 at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:73) at org.springframework.security.access.intercept.Abstract...
Spring Security如何鉴权源码分析
qq_23079139的博客
03-22 1180
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
【第七篇】SpringSecurity中的权限管理原理
yqqの博客
03-18 478
SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理。
SpringSecurity源码解析
zjl1638908711的博客
10-21 1626
SpringSecurity源码浅解析
SpringBoot整合SpringSecurity(八)动态权限
fulinlin的博客
11-16 2184
序言 SpringSecurity 进行的权限验证,有时候可能并不太满足我们的需求。有时候呢可能需要你自己去扩展达到一个对自己业务满意的验证,这时候怎么办呢?第一呢, 先不要百度,你要懂权限验证的一个流程,不懂的话可以去看我之前的博客,第二呢,就是放开手按照自己假象的思路去实践! 思路 我说一下我的需求,我想判断那个角色拥有某些url的权限,这时候该怎么进行扩展呢? 我的思路是对 自定义 Acce...
SpringSecurity最全实战讲解
roykingw的专栏
09-28 3707
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 2054
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
深入Spring Security权限控制源码分析
标题 "spring security权限管理" 指明了博文探讨的主题是Spring Security框架中关于权限管理的部分。Spring Security是一套基于Spring的安全框架,专门用于为基于Spring的应用程序提供声明式的安全保护。它提供了...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值