【转载】spring-security-oauth2(二十六) Spring Security授权源码解析

最新推荐文章于 2024-07-16 16:28:51 发布
转载 最新推荐文章于 2024-07-16 16:28:51 发布 · 220 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://blog.youkuaiyun.com/ahcr1026212/article/details/89855803

本文深入剖析Spring Security的授权控制流程,详细解读FilterSecurityInterceptor、ExceptionTranslationFilter等组件的作用,以及AccessDecisionManager如何通过投票机制决定用户访问权限。

原理流程图 

spring security的基本原理之前讲解过了。这章主要看后面两个:

FilterSecurityInterceptor

决定该用户是否有权限访问指定的资源

ExceptionTranslationFilter

异常处理,如果不能访问,则处理FilterSecurityInterceptor中抛出的异常

AnonymousAuthenticationFilter

AnonymousAuthenticationFilter : 匿名过滤器,位置固定,前面所有的都走完之后,会经过该过滤器。

这个类就是给用户一个匿名用户及权限,如果用户没有认证。

 

授权控制

FilterSecurityInterceptor(入口)

AccessDecisionManager 管理什么呢? AccessDecisionVoter :投票者

就是用来一系列的判定,是否可以进行访问什么的

AffirmativeBased: 只要有一票通过就通过(默认)

ConsensusBased :通过/不通过 哪一个票数多就遵循哪一个
UnanimousBased :只要有一票否决则不允许访问

AccessDecisionVoter 投票者 spring3-,由一堆实现类来解决 
WebExpressionVoter: spring3+ 由该类全部包办,它投过就过,不过就不过(spring表达式)

SecurityConfig 所有的配置信息
ConfigAttribute 对应了每一个url的配置信息
SecurityContextHolder
Authentication 用户身份信息,用户拥有的权限信息

主流程:拿到 配置信息,用户身份信息,请求信息 然后给投票者进行投票;最后根据策略进行决定是否放行

 未登录访问被拦截

结合上面的流程原理

访问:http://localhost:8060/user/1 进行断点调试

org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter

org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation

org.springframework.security.access.vote.AffirmativeBased#decide  默认实现

org.springframework.security.web.access.ExceptionTranslationFilter#doFilter 捕获异常处理

源码就简单分析到这里,可以自己断点调试。 

文章转载至:[https://blog.youkuaiyun.com/ahcr1026212/article/details/89855803](https://blog.youkuaiyun.com/ahcr1026212/article/details/89855803)
精选资源
spring-security-oauth2-2.3.5.RELEASE-API文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-2.3.5.RELEASE.jar; 赠送原API文档:spring-security-oauth2-2.3.5.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-2.3.5.RELEASE-sources.jar; 赠送Maven依赖信息...
spring-security-oauth2-autoconfigure-2.1.8.RELEASE-文档-中英对照版.zip
05-04
赠送jar包:spring-security-oauth2-autoconfigure-2.1.8.RELEASE.jar; 赠送原API文档:spring-security-oauth2-autoconfigure-2.1.8.RELEASE-javadoc.jar; 赠送源代码:spring-security-oauth2-autoconfigure-...
SpringSecurityOAuth2授权流程源码分析
程序员劝退师的博客
04-16 1314
前言 最近在搞SpringSecurityOAuth2相关的技术,做到了使用OAuth2做手机号+验证码授权登录,但是在做的过程中出现了一些问题。可能是写SpringSecurity的惯性思维导致的,最后迫不得已看了下源码,然后就搞定了,这篇文章主要是讲解一下SpringSecurityOAuth2授权流程,废话不多说,先上一张核心源码流程图! 绿色的是实现类,蓝色的是接口,我们知道SpringSecurityOAuth2这套框架默认已经帮我们配置好了5中授权模式,这五种模式如下 授权模式 实现
spring-security-oauth2(二十六) Spring Security授权源码解析
codeing-tiger
05-05 492
原理流程图 spring security的基本原理之前讲解过了。这章主要看后面两个: FilterSecurityInterceptor 决定该用户是否有权限访问指定的资源 ExceptionTranslationFilter 异常处理,如果不能访问,则处理FilterSecurityInterceptor中抛出的异常 AnonymousAuthenticationFilter...
Spring Security Oauth2源码分析
最新发布
小小本科生
07-16 1706
1、用户发起了一个未经身份验证的请求。2Spring Security 的 DelegatingAuthenticationEntryPoint 组件检测到这个未经身份验证的请求。3、通过一系列复杂的匹配器 DelegatingAuthenticationEntryPoint 确定这个请求需要进行身份验证。4、DelegatingAuthenticationEntryPoint 执行了 LoginUrlAuthenticationEntryPoint来处理这个未经身份验证的请求。
Spring Security Oauth2 之 架构源码解读
weixin_30914981的博客
04-03 517
本篇追踪源码阐述获Security的认证的基本流程密码模式请求/oauth/token ,获取令牌(access_token)经过客户端认证核心过滤器ClientCredentialsTokenEndpointFilter(attemptAuthentication)获取clientId,clientSecret组装成一个UsernamePassword...
Spring Security 解析() —— Spring Security Oauth2 源码解析
qq_22178703的博客
09-25 1565
Spring Security 解析() —— Spring Security Oauth2 源码解析   在学习Spring Cloud 时,遇到了授权服务oauth 相关内容时,总是一知半解,因此决定先把Spring SecuritySpring Security Oauth2 等权限、认证相关的内容、原理及设计学习并整理一遍。本系列文章就是在学习的过程中加强印象...
精选资源
spring-security-oauth2
03-17
总结,Spring Security OAuth2Spring Security框架的重要组成部分,它提供了一套完整的OAuth2授权解决方案。通过理解和掌握Spring Security OAuth2,开发者能够构建出安全、高效且符合标准的授权系统,为现代Web...
spring-boot spring-security-oauth2 完整demo
11-22
总的来说,这个“spring-boot spring-security-oauth2 完整demo”为学习和实践Spring Boot、Spring SecurityOAuth2的结合提供了宝贵的参考。通过深入理解和实践这个示例,开发者不仅可以掌握这三大框架的基本用法...
spring-security-oauth2源码
06-30
spring security oauth2源码,方便研究,备份一下。
Spring security oauth源码
10-28
从官网下载的oauth2实例sparklr2与tonr2
spring-security-oauth2-2.0.3.jar(包括jar包,源码,doc)
10-11
前段时间做oauth2,一直没找到源码和想要的jar,后来找到了跟大家分享一下。压缩包中包括oauth2的jar包,源码,以及doc
Spring-Security-OAuth2架构及源码浅析
zzy7075的专栏
03-25 610
Spring Security OAuth2架构Spring Security OAuth2是一个基于OAuth2封装的一个类库,它提供了构建和Client三种Spring应用程序角色所需要的功能。需要与和提供的功能协同工作,在使用构建和Client的情况下,的整体架构图如下:1.资源拥有者通过UserAgent访问client,在授权允许访问授权端点的情况下,会创建OAuth2认证的REST请求,指示UserAgent重定向到的授权端点。2.UserAgent访问的授权端点的authorize。
springSecurityspringOAuth2源码解析
weixin_39538035的博客
10-25 3166
springSecurityspringOAuth2登录认证接口源码解析
springsecurity源码(oauth2)
应学欣的博客
01-16 488
首先从/oauth/token入手 @RequestMapping(value = "/oauth/token", method=RequestMethod.POST) public ResponseEntity<OAuth2AccessToken> postAccessToken(Principal principal, @RequestParam Map<String, String> parameters) throws HttpRequestMethodNotSuppor
Spring Security Oauth2实现源码
qq_16047373的博客
06-30 277
源码地址 代码是自己实际使用中整理出来可直接启动运行,各种方式实现都有,每个类里面都有注释方便理解。 数据库sql CREATE TABLE `clientdetails` ( `appId` varchar(128) NOT NULL, `resourceIds` varchar(256) DEFAULT NULL, `appSecret` varchar(256) DEFAULT NULL, `scope` varchar(256) DEFAULT NULL, `grantTypes
SpringSecurity 源码分析一
xiaomin1991222的专栏
03-29 160
      通过SecurityContextHolder.getContext()获得SecurityContext   总接口SecurityContextHolderStrategy private static void initialize() {        if ((strategyName == null) || "".equals(strategyName))...
Spring Security OAuth2源码解析(一)
demon7552003的小本本
08-07 1244
目录 引入 AuthorizationServerEndpointsConfiguration 属性 AuthorizationEndpoint OAuth2RequestFactory DefaultOAuth2RequestFactory TokenEndpoint TokenGranter AuthorizationServerTokenServices DefaultTokenServices TokenStore AuthorizationServerSecu...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值