Spring Security权限检查有两种配置方式,一种就是传统的XML配置/JAVA代码配置(HttpSecurity对象),另一种则是在Controller层使用Annotation.
在源码方面,使用HttpSecurity或者配置http xml tag方式的权限校验是在Filter Chain的最后一个Filter -- [b]FilterSecurityInterceptor[/b]中处理的,逻辑上会先根据访问的URL,反向去寻找配置(XML/Java Config)中这个URL所配置的权限是什么。 然后,根据配置的投票器,拿当前访问中的Authentication对象,和配置的权限(一般是EL表达式如hasRole...等)去进行匹配,如果匹配不成功,则会抛出AccessDeniedException异常,由上层Filter:ExceptionTranslationFilter处理。
而由Annotation方式配置的权限,则是在这之后执行的,其原理是使用了Spring AOP,在Controller方法调用之前,会进入MethodSecurityInterceptor类,并且在其父抽象类中实现了校验逻辑,校验方式都是采用了投票器,不再赘述。
在源码方面,使用HttpSecurity或者配置http xml tag方式的权限校验是在Filter Chain的最后一个Filter -- [b]FilterSecurityInterceptor[/b]中处理的,逻辑上会先根据访问的URL,反向去寻找配置(XML/Java Config)中这个URL所配置的权限是什么。 然后,根据配置的投票器,拿当前访问中的Authentication对象,和配置的权限(一般是EL表达式如hasRole...等)去进行匹配,如果匹配不成功,则会抛出AccessDeniedException异常,由上层Filter:ExceptionTranslationFilter处理。
而由Annotation方式配置的权限,则是在这之后执行的,其原理是使用了Spring AOP,在Controller方法调用之前,会进入MethodSecurityInterceptor类,并且在其父抽象类中实现了校验逻辑,校验方式都是采用了投票器,不再赘述。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
