Spring Security-授权(AccessDecisionManager,AccessDecisionVoter) .

最新推荐文章于 2024-05-06 16:09:45 发布
转载 最新推荐文章于 2024-05-06 16:09:45 发布 · 996 阅读 · 1
文章标签:

#spring security

本文深入探讨Spring Security中用于授权管理的核心组件AccessDecisionManager及其内部投票器AccessDecisionVoter的工作原理。解释如何通过认证票据、访问资源及权限配置来决定用户是否有权访问特定资源。
AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法
void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
        throws AccessDeniedException, InsufficientAuthenticationException;
对一次访问授权,需要传入三个信息。
(1)认证过的票据Authentication,确定了谁正在访问资源。
(2)被访问的资源object。
(3)访问资源要求的权限配置ConfigAttributeDefinition。
从票据中可以获取认证用户所拥有的权限,再对比访问资源要求的权限,即可断定当前认证用户是否能够访问该资源。

 

Spring Security引入了投票器的概念,真正的授权功能是通过一组AccessDecisionVoter来实现的。
AccessDecisionManager维护着一个AccessDecisionVoter列表参与授权的投票。根据处理投票的策略不同
Spring Security中AccessDecisionManager有3个不同的实现。
(1)UnanimousBased(全票通过):所有投票器都通过才允许访问资源。
(2)ConsensusBased(少数服从多数):超过一半的投票器通过才允许访问资源。
(3)AffirmativeBased(一票通过):只要有一个投票器投票通过,就允许访问资源。

AccessDecisionVoter的vote方法,实现了投票的逻辑。vote方法需要的参数AccessDecisionManager的decide方法
完全相同。实际上AccessDecisionManager的功能就是委托给AccessDecisionVoter实现的。Spring Security中有很多AccessDecisionVoter的实现,最简单的有RoleVoter。RoleVoter通过将Authentication里面获取的权限信息,与从
ConfigAttributeDefinition配置的访问资源需要的权限对比,来投票通过,或拒绝,或弃权。

SpringSecurity授权机制:AccessDecisionManager与投票决策
程序媛学姐的博客
03-24 1330
Spring Security授权机制最大的优势在于其可扩展性,开发者可以轻松实现自定义的访问控制规则。通过创建自定义的AccessDecisionVoter,可以基于业务特定逻辑进行授权决策,如限制特定时间段的访问、根据用户属性控制权限或实现数据行级安全。自定义投票者只需实现AccessDecisionVoter接口的三个方法,然后将其添加到AccessDecisionManager的投票者列表中即可。这种方式使复杂的授权需求变得易于实现且可维护。// 自定义的工作时间投票者,只允许在工作时间访问。
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3729
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
AccessDecisionManager
11-25
自定义AccessDecisionManager初始化了但是还是走默认的决策器。翻看了官方说明,需要在http上制定决策器。
Spring Security-授权AccessDecisionManagerAccessDecisionVoter
热门推荐
kaikai8552的专栏
03-07 1万+
 AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)        throws AccessDeniedException, Insufficien
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1980
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
spring-security-project.zip- Spring Security实现RBAC权限模型demo
02-09
Spring Security 是一个强大...总结来说,"spring-security-project.zip"提供了一个使用Spring Security实现RBAC权限模型的实例,涵盖了认证、授权、角色和权限的管理,是学习和理解Spring Security安全框架的好材料。
spring-security-core-2.0.5.RELEASE.src
08-09
Spring Security通过AccessDecisionManagerAccessDecisionVoter实现这一功能。`org.springframework.security.access.vote`包下包含不同类型的投票器,如AffirmativeBased、UnanimousBased等,用于根据特定策略...
spring-security-3.1.x.zip 源码下载
11-28
- 研究`AccessDecisionManager`和`AccessDecisionVoter`,掌握授权策略的实现。 总的来说,Spring Security 3.1.x的源代码对于任何希望深入研究和定制Spring Security的开发者来说都是宝贵的资源。通过阅读和学习...
spring-security-3.1.0.RELEASE
12-29
2. **授权**:基于角色的访问控制(RBAC)是Spring Security授权的基础,通过配置访问决策管理器(AccessDecisionManager)和访问决策投票器(AccessDecisionVoter),可以实现细粒度的权限控制。 3. **过滤器链**...
security-learning-demo.zip
03-03
Spring Security通过AccessDecisionManagerAccessDecisionVoter实现细粒度的权限控制。Day13可能会讲解基于角色的访问控制(RBAC)、表达式语言(SpEL)以及自定义权限表达式。 4. **Filter Security Interceptor...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
Spring Security教程 Vol 9. AccessDecisionManager组件介绍
weixin_33857679的博客
04-23 858
第九期 AccessDecisionManager组件介绍 作为访问控制的最后一期,但确实整个章节部分里最简单的一部分。ConfigAttribute负责表述规则,AccessDecisionVoter负责为规则表决,但最终的访问授权是否通过是由AccessDecisionManager进行决策的。 这一期我们将主要介绍Spring Security中提供的三种主要决策模型。 一、AccessD...
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
CodeCattle的博客
05-06 1537
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
Spring Security授权 AccessDecisionManager
weixin_30611509的博客
12-28 324
Spring Security授权 AccessDecisionManager 博客分类: Security Spring 在前面那篇博客有一段配置: Xml代码 <httpauto-config="false"disable-url-rewriting="true"use-expressions="true"entry-...
AccessDecisionManager 访问决策管理器
2023年最新地推相关信息
10-01 529
throw new AccessDeniedException(“没有操作权限”);访问决策管理器是做什么的?这一段代码是什么意思呀。// 获取用户权限列表。
Spring Security学习(三)授权管理器
德玛西亚
03-29 1173
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
spring security访问控制决策管理器
a807719447的专栏
11-16 612
我们先来看下类图。顶层接口为 AccessDecisionManager,仅有一个抽象实现,三个具体实现类继承自抽象类。 AffirmativeBased 一票通过制 ConsensusBased 半数以上通过制 UnanimousBased 全数通过制 见名知意,不用我多解释了。 在这几个决策器中调用投票器AccessDecisionVoter,进行投票。 RoleVoter投票器的逻辑如下: public int vote(Authentication authentication,.
AccessDecisionManager接口
xbcai1的博客
11-05 315
使用投票器投票。
package com.hw.camunda.config; import com.alibaba.fastjson2.JSONObject; import com.hw.camunda.config.filter.TokenFilter; import com.hw.camunda.exception.ErrorMsg; import com.hw.camunda.service.impl.CustomUserDetailsService; import com.hw.camunda.utils.JsonResult; import jakarta.annotation.Resource; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.http.HttpStatus; import org.springframework.security.access.AccessDecisionManager; import org.springframework.security.access.AccessDecisionVoter; import org.springframework.security.access.vote.AffirmativeBased; import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; import java.util.List; @Configuration @EnableWebSecurity @EnableMethodSecurity // 启用方法级注解鉴权 public class SecurityConfig { private final CustomUserDetailsService userDetailsService; private final SecurityProperties securityProperties; private final TokenFilter tokenFilter; @Autowired public SecurityConfig(TokenFilter tokenFilter,SecurityProperties securityProperties,CustomUserDetailsService userDetailsService) { this.securityProperties = securityProperties; this.userDetailsService = userDetailsService; this.tokenFilter = tokenFilter; } /** * 安全过滤链配置 - 清晰定义拦截规则 * 优先级:从上到下匹配规则 */ @Bean SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.csrf(AbstractHttpConfigurer::disable) .addFilterBefore(tokenFilter, UsernamePasswordAuthenticationFilter.class) .authorizeHttpRequests(auth -> { auth.requestMatchers(HttpMethod.OPTIONS, "/**").permitAll(); // 关键放行 if (!securityProperties.getPermitUrls().isEmpty()) { for (String permitUrl : securityProperties.getPermitUrls()) { auth.requestMatchers(permitUrl).permitAll(); } } if (!securityProperties.getPattenUrls().isEmpty()) { for (String pattenUrl : securityProperties.getPattenUrls()) { auth.requestMatchers(pattenUrl).permitAll(); } } auth.requestMatchers("/**").hasRole("SUPER_ADMIN"); auth.anyRequest().authenticated(); }) .exceptionHandling(e -> e.authenticationEntryPoint((req, res, ex) -> { // 将异常转换为JSON响应 res.setStatus(HttpStatus.UNAUTHORIZED.value()); res.setContentType("application/json"); res.setCharacterEncoding("UTF-8"); res.getWriter().write(JSONObject.toJSONString(JsonResult.error(ErrorMsg.JWT_TOKEN_INVALID))); })); return http.build(); } } 为什么有SUPER_ADMIN角色还是会被拦截无权限
最新发布
08-22
Spring Security 默认要求角色名以 `ROLE_` 开头。 **解决方法**: - 确保用户实际拥有的角色是 `ROLE_SUPER_ADMIN`(而不是 `SUPER_ADMIN`) - 或者在配置中使用 `hasAuthority("SUPER_ADMIN")` 代替 `...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值