Spring Security系列四自定义决策管理器(动态权限码)

最新推荐文章于 2024-12-31 14:39:55 发布

weixin_34051201

最新推荐文章于 2024-12-31 14:39:55 发布

阅读量308

点赞数

CC 4.0 BY-SA版权

文章标签： java 数据库 python

原文链接：https://my.oschina.net/airship/blog/1556168

本文详细介绍了SpringSecurity中权限资源SecurityMetadataSource与权限决策AccessDecisionManager的自定义实现过程，并展示了如何配置使用自定义实现类。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

2019独角兽企业重金招聘Python工程师标准>>>

前言

前面我们已经实现了用户的自定义登录及密码的加密，接下来就是动态的权限验证了，也就是实现Spring Security的决策管理器AccessDecisionManager。

权限资源 SecurityMetadataSource

要实现动态的权限验证，当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访问时所需要的具体权限，所以第一步需要实现SecurityMetadataSource。

SecurityMetadataSource是一个接口，同时还有一个接口FilterInvocationSecurityMetadataSource继承于它，但FilterInvocationSecurityMetadataSource只是一个标识接口，对应于FilterInvocation，本身并无任何内容：

/**

Marker interface for <code>SecurityMetadataSource</code> implementations that are
designed to perform lookups keyed on {@link FilterInvocation}s.
@author Ben Alex */ public interface FilterInvocationSecurityMetadataSource extends SecurityMetadataSource { } 因为我们做的一般都是web项目，所以实际需要实现的接口是FilterInvocationSecurityMetadataSource，这是因为Spring Security中很多web才使用的类参数类型都是FilterInvocationSecurityMetadataSource。

下面是一个自定义实现类CustomSecurityMetadataSource的示例代码，它的主要责任就是当访问一个url时返回这个url所需要的访问权限。

/**

Created by liyd on 16/12/9. */ public class CustomSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { FilterInvocation fi = (FilterInvocation) object; Map<String, Collection<ConfigAttribute>> metadataSource = CustomSecurityContext.getMetadataSource(); for (Map.Entry<String, Collection<ConfigAttribute>> entry : metadataSource.entrySet()) { String uri = entry.getKey(); RequestMatcher requestMatcher = new AntPathRequestMatcher(uri); if (requestMatcher.matches(fi.getHttpRequest())) { return entry.getValue(); } } return null; } public Collection<ConfigAttribute> getAllConfigAttributes() { return null; } public boolean supports(Class<?> clazz) { return FilterInvocation.class.isAssignableFrom(clazz); } } getAttributes方法返回本次访问需要的权限，可以有多个权限。在上面的实现中如果没有匹配的url直接返回null，也就是没有配置权限的url默认都为白名单，想要换成默认是黑名单只要修改这里即可。

getAllConfigAttributes方法如果返回了所有定义的权限资源，Spring Security会在启动时校验每个ConfigAttribute是否配置正确，不需要校验直接返回null。

supports方法返回类对象是否支持校验，web项目一般使用FilterInvocation来判断，或者直接返回true。

在上面我们主要定义了两个权限码：

user=/user admin=/admin 也就是CustomSecurityContext.getMetadataSource()加载的内容，主要加载代码如下：

ResourcePatternResolver resourcePatternResolver = new PathMatchingResourcePatternResolver(); Resource[] resources = resourcePatternResolver.getResources("classpath*:/security/*.properties"); if (ArrayUtils.isEmpty(resources)) { return; } Properties properties = new Properties(); for (Resource resource : resources) { properties.load(resource.getInputStream()); } for (Map.Entry<Object, Object> entry : properties.entrySet()) { String key = (String) entry.getKey(); String value = (String) entry.getValue(); String[] values = StringUtils.split(value, ","); Collection<ConfigAttribute> configAttributes = new ArrayList<ConfigAttribute>(); ConfigAttribute configAttribute = new SecurityConfig(key); configAttributes.add(configAttribute); for (String v : values) { METADATA_SOURCE_MAP.put(StringUtils.trim(v), configAttributes); } } 这里我们把权限的配置信息写在了properties文件中，当然你也可以存在数据库中或其它任何地方。

在加载的时候，这里的url是key，value是访问需要的权限码，一个权限码可以对应多个url，一个url也可以有多个权限码，想要怎么玩都可以在这里实现，示例中只是最简单的。

权限决策 AccessDecisionManager

有了权限资源，知道了当前访问的url需要的具体权限，接下来就是决策当前的访问是否能通过权限验证了。

这需要通过实现自定义的AccessDecisionManager来实现。Spring Security内置的几个AccessDecisionManager就不讲了，在web项目中基本用不到。

以下是示例代码：

public class CustomAccessDecisionManager implements AccessDecisionManager { public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException { Iterator<ConfigAttribute> iterator = configAttributes.iterator(); while (iterator.hasNext()) { if (authentication == null) { throw new AccessDeniedException("当前访问没有权限"); } ConfigAttribute configAttribute = iterator.next(); String needCode = configAttribute.getAttribute(); Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities(); for (GrantedAuthority authority : authorities) { if (StringUtils.equals(authority.getAuthority(), "ROLE_" + needCode)) { return; } } } throw new AccessDeniedException("当前访问没有权限"); } public boolean supports(ConfigAttribute attribute) { return true; } public boolean supports(Class<?> clazz) { return FilterInvocation.class.isAssignableFrom(clazz); } } 同样的也有三个方法，其它两个和SecurityMetadataSource类似，这里主要讲讲decide方法。

decide方法的三个参数中：

authentication包含了当前的用户信息，包括拥有的权限。这里的权限来源就是前面登录时UserDetailsService中设置的authorities。 object就是FilterInvocation对象，可以得到request等web资源。 configAttributes是本次访问需要的权限。上面的实现中，当需要多个权限时只要有一个符合则校验通过，即或的关系，想要并的关系只需要修改这里的逻辑即可。

配置使用自定义实现类

上面权限的资源和验证我们已经都实现了，接下来就是指定让Spring Security使用我们自定义的实现类了。

在以前xml的配置中，一般都是自己实现一个FilterSecurityInterceptor，然后注入自定义的SecurityMetadataSource和AccessDecisionManager，就像下面这样：

<b:bean id="customFilterSecurityInterceptor" class="com.dexcoder.security.CustomFilterSecurityInterceptor">
<b:property name="authenticationManager" ref="customAuthenticationManager" />
<b:property name="accessDecisionManager" ref="customAccessDecisionManager" />
<b:property name="securityMetadataSource" ref="customSecurityMetadataSource" />
</b:bean> 在Spring Boot的JavaConfig中并没有这样的实现方式，但是提供了ObjectPostProcessor以让用户实现更多想要的高级配置。具体看下面代码，注意withObjectPostProcessor部分：

@Bean public AccessDecisionManager accessDecisionManager() { return new CustomAccessDecisionManager(); } @Bean public FilterInvocationSecurityMetadataSource securityMetadataSource() { return new CustomSecurityMetadataSource(); } protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests().antMatchers("/", "/index").permitAll().anyRequest().authenticated().and().formLogin() .loginPage("/login").defaultSuccessUrl("/user").permitAll().and().logout().permitAll() .and().authorizeRequests().anyRequest().authenticated() .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { public <O extends FilterSecurityInterceptor> O postProcess(O fsi) { fsi.setAccessDecisionManager(accessDecisionManager()); fsi.setSecurityMetadataSource(securityMetadataSource()); return fsi; } }); } 主要是在创建默认的FilterSecurityInterceptor的时候把我们的accessDecisionManager和securityMetadataSource设置进去，至于authenticationManager因为我们已经声明了authenticationProvider并设置了userDetailService，所以这里可以省去。

既然扯到了FilterSecurityInterceptor这里再唠叨两句，Spring Security内部默认主要有三个实现，见下图：

Spring Security Interceptor

AspectJMethodSecurityInterceptor和MethodSecurityInterceptor在spring-security-core包内，FilterSecurityInterceptor在spring-security-web包内，这也说明FilterSecurityInterceptor是web项目专用的。

在前面默认的实现中，Controller上加注解@PreAuthorize使用的是MethodSecurityInterceptor，但是在经过我们一番改造后，已经使用了FilterSecurityInterceptor，MethodSecurityInterceptor已经没用到了。

当然你需要把Controller方法上的注解去掉：

@RequestMapping(value = "/admin", method = RequestMethod.GET) // @PreAuthorize("hasAnyRole('admin')") public String helloAdmin() { return "admin"; } @RequestMapping(value = "/user", method = RequestMethod.GET) // @PreAuthorize("hasAnyRole('admin','user')") public String helloUser() { return "user"; } 测试

因为原来Controller中的helloUser方法注解上，hasAnyRole中有两个值，所在这里在授权的时候也需要授权两个，也就是数据库中admin要多加一条权限记录。

随后访问不同的url，发现跟基本一样，也是在我们预期当中。

最后

到这里一般情况下已经够用了，但是项目中往往会有很多“奇葩”的需求，下一章将讲解如何实现自定义的登录过滤器，实现各种客户端各种方式的登录，如区分手势密码、指纹登录及正常html外的.json、.xml等方式的访问。

附件列表

security-demo(4).zip 标签: Spring Security 权限控制

转载于:https://my.oschina.net/airship/blog/1556168