Spring Security学习(三)授权管理器

最新推荐文章于 2024-05-06 16:09:45 发布
原创 最新推荐文章于 2024-05-06 16:09:45 发布 · 1.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring

本文深入剖析Spring Security中的授权机制,重点介绍了AccessDecisionManager及其子类如何通过AccessDecisionVoter进行投票决策,包括AffirmativeBased、ConsensusBased和UnanimousBased三种决策方式。同时,详细解释了RoleVoter和WebExpressionVoter的工作原理。

第一篇的授权部分,有分析到

授权主要由AbstractSecurityInterceptor及其子类完成

具体到实际代码中其实是

			// 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查
			this.accessDecisionManager.decide(authenticated, object, attributes);

AccessDecisionManager

AccessDecisionManager 是一个决策管理器接口,主要有下面三个方法:

void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,
			InsufficientAuthenticationException;

该方法是投票过程, 有三个参数 :

  1. Authentication authentication代表访问者当事人,是访问者的认证令牌,包含了访问者的权限
  2. Object object表示目标安全对象
  3. Collection<ConfigAttribute> configAttributes表示访问目标安全对象所需要的权限
boolean supports(ConfigAttribute attribute);

该方法用于检测ConfigAttribute attribute是否是当前 AccessDecisionManager 支持的 ConfigAttribute 类型。

boolean supports(Class<?> clazz);

检测Class clazz是否是当前 AccessDecisionManager 支持的安全对象。

AccessDecisionManager 实现

Spring Security内置的 AccessDecisionManager 的实现是抽象类 AbstractAccessDecisionManager

public abstract class AbstractAccessDecisionManager implements AccessDecisionManager,
		InitializingBean, MessageSourceAware {
   
   
		
	protected final Log logger = LogFactory.getLog(getClass());

	// 通过这一组AccessDecisionVoter来投票表决完成授权
	private List<AccessDecisionVoter<?>> decisionVoters;

	protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();

	private boolean allowIfAllAbstainDecisions = false;

	protected AbstractAccessDecisionManager(
			List<AccessDecisionVoter<?>> decisionVoters) {
   
   
		Assert.notEmpty(decisionVoters, "A list of AccessDecisionVoters is required");
		this.decisionVoters = decisionVoters;
	}
	
	public void afterPropertiesSet() {
   
   
		Assert.notEmpty(this.decisionVoters, "A list of AccessDecisionVoters is required");
		Assert.notNull(this.messages, "A message source must be set");
	}

	protected final void checkAllowIfAllAbstainDecisions() {
   
   
		if (!this.isAllowIfAllAbstainDecisions()) {
   
   
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
	}

	public List<AccessDecisionVoter<?>> getDecisionVoters() {
   
   
		return this.decisionVoters;
	}

	public boolean isAllowIfAllAbstainDecisions() {
   
   
		return allowIfAllAbstainDecisions;
	}

	public void setAllowIfAllAbstainDecisions(boolean allowIfAllAbstainDecisions) {
   
   
		this.allowIfAllAbstainDecisions = allowIfAllAbstainDecisions;
	}

	public void setMessageSource(MessageSource messageSource) {
   
   
		this.messages = new MessageSourceAccessor(messageSource);
	}

	public boolean supports(ConfigAttribute attribute) {
   
   
		for (AccessDecisionVoter voter : this.decisionVoters) {
   
   // 只要有一个匹配,返回true
			if (voter.supports(attribute)) {
最低0.47元/天 解锁文章
Spring Boot 安全性:使用 Spring Security 实现用户认证与权限管理!
**My Coding Family**
04-27 1341
🏆 本文精选收录于《滚雪球学SpringBoot》专栏,专为零基础学习者量身打造。从Spring基础到项目实战,手把手带你掌握核心技术,助力你快速提升,迈向职场巅峰,开启财富自由之路🚀!无论你是刚入门的小白,还是已有基础的开发者,都能在这里找到适合自己的学习路径!    🌟 关注、收藏、订阅,持续更新中!和我们一起高速成长,突破自我!💡
SpringSecurity授权机制:AccessDecisionManager与投票决策
最新发布
程序媛学姐的博客
03-24 1346
Spring Security的授权机制最大的优势在于其可扩展性,开发者可以轻松实现自定义的访问控制规则。通过创建自定义的AccessDecisionVoter,可以基于业务特定逻辑进行授权决策,如限制特定时间段的访问、根据用户属性控制权限或实现数据行级安全。自定义投票者只需实现AccessDecisionVoter接口的个方法,然后将其添加到AccessDecisionManager的投票者列表中即可。这种方式使复杂的授权需求变得易于实现且可维护。// 自定义的工作时间投票者,只允许在工作时间访问。
SpringSecurity权限管理基本概念和整体架构介绍
写写平时的技术与感想
05-23 3733
Spring Security是⼀个功能强⼤、可⾼度定制的身份验证和访问控制框架。它是保护基于Spring的应⽤程序的事实标准。Spring Security是⼀个⾯向Java应⽤程序提供身份验证和安全性的框架。与所有Spring项⽬⼀样,Spring Security的真正威⼒在于它可以轻松地扩展以满⾜定制需求。是⼀个功能强⼤、可⾼度定制的身份验证和访问控制的框架。或者说⽤来实现系统中权限管理的框架。
Spring Security(05)授权配置授权流程分析
愤怒的菜鸟博客
03-09 4961
认证控制 springsecurity 的认证过程的处理是通过过滤进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤 拿到请求信息,交给访问决策管理(AccessDecisionManager) 判断是否有权限, 而 访问决策管理(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票), 对于一个请求 所有的投票可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果
Spring Security-授权(AccessDecisionManager,AccessDecisionVoter)
热门推荐
kaikai8552的专栏
03-07 1万+
 AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)        throws AccessDeniedException, Insufficien
SpringSecurity框架原理浅谈之AccessDecisionManager
黄先生的博客
02-14 1984
授权流程 Spring Security可以通过 http.authorizeRequests() 对web请求进行授权保护。 Spring Security使用标准Filter建立了对web请求的拦截,最终实现对资源的授权访问。
精选资源
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
最详细Spring Security学习资料(源码)
11-16
会话管理:Spring Security支持对用户会话状态的管理,包括会话超时、并发控制、集群环境下的分布式会话管理等。 Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤、标签库等工具,...
全面解析Spring Security 过滤链的机制和特性
08-18
Spring Security 中,过滤链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤链(Filter)以及最终的具体 Servlet 控制...
精选资源
Spring Security+OAuth2 精讲,打造企业级认证与授权
10-12
Spring Security的核心概念包括安全性上下文、过滤链、访问决策管理等。通过配置或注解的方式,开发者可以轻松地实现基于角色的访问控制(RBAC)以及自定义的安全逻辑。 OAuth2则是一种开放标准,主要用于授权...
spring security 登录、权限管理配置
08-13
登录流程 1)容启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
Spring Security教程 Vol 9. AccessDecisionManager组件介绍
weixin_33857679的博客
04-23 861
第九期 AccessDecisionManager组件介绍 作为访问控制的最后一期,但确实整个章节部分里最简单的一部分。ConfigAttribute负责表述规则,AccessDecisionVoter负责为规则表决,但最终的访问授权是否通过是由AccessDecisionManager进行决策的。 这一期我们将主要介绍Spring Security中提供的种主要决策模型。 一、AccessD...
Spring Security(15)——权限鉴定结构 RoleVoter
weixin_30782293的博客
09-22 285
http://www.cnblogs.com/fenglan/p/5913432.html 转载于:https://www.cnblogs.com/wangc04/p/7574762.html
Spring Security入门(1-13)Spring Security的投票机制和投票
weixin_33875564的博客
06-21 836
1、种表决方式,默认是 一票制AffirmativeBased public interface AccessDecisionManager { /** * 通过传递的参数来决定用户是否有访问对应受保护对象的权限 * @param authentication 当前正在请求受包含对象的Authentication * @param object 受保护对象,其可...
使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权
CodeCattle的博客
05-06 1554
1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票
Spring Boot ()集成spring security
a286352250的博客
11-14 8134
项目GitHub地址 : https://github.com/FrameReserve/TrainingBoot Spring Boot ()集成spring security,标记地址: https://github.com/FrameReserve/TrainingBoot/releases/tag/0.0.3 pom.xml 只列举 Spring S
基于角色得后台权限管理系统设计(八、spring security 之自定义前缀一)
a807719447的专栏
07-08 822
这个问题搜索百度了半天,无非就是配置什么roleVoter之类得,这个前提是你使用到了这个投票,但是现在默认配置并未使用到这个投票。然后百度了半天各种尝试就是不行,有时候查资料就是这么坑,好了最后确定查不到资料了,只能调试跟代码了。 我们知道默认使用得决策管理是AffirmativeBased一票通过。关于我们为什么知道,之前得篇幅有讲过了,不熟悉得朋友可以翻翻。 找到这个决策管理,找...
java.lang.IllegalArgumentException: An AccessDecisionManager is required
qq_22094297的博客
08-02 2753
jdk,从1.8换成1.7完美解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值