Spring 授权 (Authorization) 流程要点

最新推荐文章于 2025-11-02 12:15:46 发布
原创 最新推荐文章于 2025-11-02 12:15:46 发布 · 3.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨Spring Security中的授权机制,包括GrantedAuthority的概念、如何使用AuthenticationManager和AccessDecisionManager进行权限控制,以及调用前后授权处理的具体流程。介绍了投票机制下的AccessDecisionManager实现,并解释了AfterInvocationManager的作用。

1. 授权前提

  • 所有的认证令牌对象Authentication保存了一组GrantedAuthority对象,表示授予访问者(当事人principal)的权限。
    1. GrantedAuthority对象是被AuthenticationManager在认证访问者期间插入到Authentication中的。这些GrantedAuthority对象会被AccessDecisionManager在对该访问者对于某个安全对象做出授权决定时使用;
    2. GrantedAuthority是一个接口,仅有一个方法定义String getAuthority(),用于获取所受权限的字符串形式表示;
    3. Spring Security内置了一个GrantedAuthority具体实现SimpleGrantedAuthority,该实现支持在将权限字符串转成GrantedAuthority类型对象;
    4. Spring Security内置的AuthenticationProvider都使用SimpleGrantedAuthorityAuthentication填充权限信息;

2. 授权过程 (Authorization)

  • 有授权控制的安全对象(secure object)的分类

    • 方法调用(method invocation)
    • web请求(web request)

  • 授权动作调用者

    • 拦截器 AbstractSecurityInterceptor

  • 授权控制阶段

    • 调用前授权处理 (pre-invocation handling) : AccessDecisionManager

      • AccessDecisionManagerAbstractSecurityInterceptor调用,负责决定是否授权访问者继续访问目标安全对象;

      • AccessDecisionManager是一个接口,定义了三个方法

        void decide(Authentication authentication, Object secureObject,
        Collection<ConfigAttribute> attrs) throws AccessDeniedException;

        该方法是投票过程, 有三个参数 :

        • Authentication authentication代表访问者当事人,是访问者的认证令牌,包含了访问者的权限
        • Object secureObject表示目标安全对象,比如是一个方法调用MethodInvocation
        • Collection<ConfigAttribute> attrs 表示访问目标安全对象所需要的权限
        boolean supports(ConfigAttribute attribute);

        检测ConfigAttribute attribute是否是当前AccessDecisionManager支持的ConfigAttribute类型。

        boolean supports(Class clazz);

        检测Class clazz是否是当前AccessDecisionManager支持的secureObject

      • 开发者可以提供自己的AccessDecisionManager实现

      • Spring Security内置的AccessDecisionManager实现是基于投票机制的(voting)

        • AbstractAccessDecisionManagerSpring Security内置的AccessDecisionManager实现的抽象基类
        • AbstractAccessDecisionManager使用一组AccessDecisionVoter投票者投票表决进行授权
          • AccessDecisionVoter是一个接口,建模投票者这一概念
          • 每个AccessDecisionVoter对每次投票可以给出如下三个结论中的一个
            • 否决 : ACCESS_DENIED
            • 弃权 : ACCESS_ABSTAIN
            • 赞同 : ACCESS_GRANTED
        • AbstractAccessDecisionManager有三个内置实现
          • AffirmativeBased – 一票通过即可放行
          • ConsensusBased – 多数投票通过可放行
          • UnanimousBased – 全票通过才放行

    • 调用后授权处理 (after-incocation handling) : AfterInvocationManager

      • 通过AfterInvocationManager可以对受保护的安全对象的返回对象做修改
      • Spring Security提供了AfterInvocationManager的一个内置实现AfterInvocationProviderManager
      • AfterInvocationProviderManager维护一组AfterInvocationProvider完成指定的任务

        对受保护的安全对象的返回对象逐一应用这些AfterInvocationProvider

  • 参考文章

Spring Authorization Server 系列】(一)入门篇,快速搭建一个授权服务器
Markix的博客
08-01 1万+
Spring Authorization Server是一个框架,提供了OAuth2.1和OpenIDConnect1.0规范以及其他相关规范的实现。它建立在SpringSecurity之上,为构建OpenIDConnect1.0IdentityProviders和OAuth2AuthorizationServer产品提供安全、轻量级和可定制的基础。旧版的框架是,该框架已停止维护。SpringSecurityOAuth2认证/授权服务器的前世今生。...............
Spring Authorization Server 1.5.2 使用YML配置的方式,最常用法总结
09-03 954
OAuth2常用授权方式配置及使用摘要:本文介绍了OAuth2的三种主要授权模式。授权码模式(适用于Web应用)通过重定向获取授权码再换取令牌;客户端模式(适用于机器间通信)直接使用客户端凭证获取令牌;JWTBearer模式通过已签名的JWT断言获取令牌。配置要点包括:注册客户端、设置回调地址、保管凭证安全。使用建议:授权码模式需防范重定向漏洞,客户端模式避免前端暴露secret,JWT模式确保签名安全,所有通信都应使用HTTPS,并设置合理的令牌有效期。文中提供了各模式的请求示例和配置代码片段。
spring authorization server系列教程】()入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 2万+
spring authorization server系列教程】()入门系列,快速构建一个授权服务器spring authorization server是spring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
Spring Authorization Server大概了解
最新发布
weixin_45064934的博客
11-02 968
Spring Authorization Server 是一个功能强大的授权服务器实现,基于 OAuth 2.1 和 OpenID Connect 1.0 协议。
Spring Authorization Server入门 () 初识SpringAuthorizationServer和OAuth2.1协议
云逸的博客
06-01 1万+
Spring authorization server是由社区推动的一个项目,在Spring security团队的领导下基于Nimbus库重头编写,其目的主要是为 Spring 社区提供 OAuth 2.0 授权服务器支持,替代已被废弃的Spring Security OAuth框架。Spring authorization server提供了OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现。
Spring Authorization Server的使用
zzy7075的专栏
05-21 2444
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
使用OAuth2实现社交登录与Spring授权服务器配置
静水深流
05-26 1501
Spring Security OAuth2实现SSO的完整技术路径涵盖了从社交登录到企业级授权服务器的全场景解决方案。通过对比GitHub社交登录与Spring Authorization Server的配置差异,我们可以清晰看到授权服务器与资源服务器的解耦设计优势:前者适合快速接入第三方认证,后者则提供完全可控的认证体系。BCrypt加密的客户端密钥存储精确匹配的回调URI校验CSRF令牌的HttpOnly策略作用域前缀(SCOPE_)的强制规范JWT签发者的严格验证。
从入门到精通 SpringSecurity & Auth2.0
安静的软件工程师
08-16 1148
从入门到精通 SpringSecurity & Auth2.0
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3905
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Boot集成JWT与Spring Security实现认证授权
在此基础上集成Spring Security,用于处理认证(Authentication)与授权Authorization)逻辑,是保障系统安全的核心组件。而JWT作为一种无状态的令牌机制,被用来在客户端与服务端之间传递用户身份信息,避免了...
Spring Security - 授权Authorization
Flying_Fish_roe的博客
09-28 1753
在 Web 应用程序中,授权Authorization)是指确定用户是否有权访问特定资源或执行某个操作的过程。在授权之前,系统需要先完成身份认证(Authentication),即确定用户的身份。只有当用户的身份被确认后,才会进入授权阶段,判断该用户是否具备访问某些功能或资源的权限。是一个用于保护 Java Web 应用程序的安全框架,支持身份认证与授权。在 Spring Security 中,授权主要通过配置和注解来实现,开发者可以很方便地控制用户对不同资源的访问权限。
Spring Authorization Server 1.1 扩展实现 OAuth2 密码模式与 Spring Cloud 的整合实战
有来技术
10-24 1万+
本文基于开源微服务商城项目 youlai-mall、Spring Boot 3 和 Spring Authorization Server 1.1 版本,演示了如何扩展密码模式,以及如何将其应用于 Spring Cloud 微服务实战。
Spring Authorization Server入门 () Spring Boot整合Spring Authorization Server
云逸的博客
06-02 1万+
本篇文章从0到1搭建了一个简单认证服务,解释了认证服务的各项配置用意,如何设置自己的登录页和授权确认页,如何让认证服务解析请求时携带的token,文章过长难免有遗漏的地方,如果文章中有遗漏或错误的地方请各位读者在评论区指出。
Spring Authorization Server 1.4.0 使用及详细配置 搭配Spring Boot3.4.0 + Spring Security6.4.1
qq_44845339的博客
12-04 4471
:::info Spring Authorization Server 是一个提供OAuth 2.1和OpenID Connect 1.0规范以及其他相关规范的实现的框架。它构建在Spring Security之上,为构建 OpenID Connect 1.0 身份提供商和 OAuth2 授权服务器产品提供安全、轻量级和可定制的基础。:::本篇文章主要讲解常用的授权码模式、客户端模式、令牌刷新这三种模式,以及如何自己扩展授权模式(以账号密码模式为例)本篇文章会讲解两种token的原理,如何使用不同格式的to
Spring Authorization Server入门 (十六) Spring Cloud Gateway对接认证服务
云逸的博客
08-27 6694
之前虽然单独讲过Security Client和Resource Server的对接,但是都是基于Spring webmvc的,Gateway这种非阻塞式的网关是基于webflux的,对于集成Security相关内容略有不同,且涉及到代理其它微服务,所以会稍微比较麻烦些,今就带大家来实现Gateway网关对接OAuth2认证服务。
[Spring] Spring Authorization Server 0.0.1 版发布
邓超的博客
08-24 828
欢迎加入 Spring cloud 交流群: 617143034 代表团队和所有贡献者,我们很高兴在今 (2020-08-21) 发布了 Spring Authorization Server 的 0.0.1 版本!
(一)学习spring-cloud:2021之spring-authorization-server
qq_37182370的博客
05-27 1万+
1. 前言 1.1为什么使用spring-authorization-server? 真实原因:原先是因为个人原因,需要研究新版鉴权服务,看到了spring-authorization-server,使用过程中,想着能不能整合新版本cloud,因此此处先以springboot搭建spring-authorization-server,后续再替换为springcloud。 官方原因:原先使用Spring Security OAuth,而该项目已经逐渐被淘汰,虽然网上.............
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
凡的博客
04-19 1万+
OAuth2.0 实践 Spring Authorization Server 搭建授权服务器 + Resource + Client
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值