Spring Security 3 基于角色访问控制过程详解

最新推荐文章于 2024-03-20 18:12:08 发布
最新推荐文章于 2024-03-20 18:12:08 发布
阅读量1.4w 收藏 5
点赞数 3
分类专栏: Security Java 文章标签: security spring authentication attributes string object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/imcxin/article/details/7035973
版权
访问控制:

由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object)


该方法会将URL传给SecurityMetadataSource获取匹配该URL所有参数ConfigAttribute(拥有权限的角色)的集合。


如果该用户尚未认证(登录),或拦截器配置了“始终认证”,则拦截器会将该用户的登录信息(未登录则跳转到登陆页面)重新认证,并加载角色信息。


随后将用户认证信息(Authentication),用户请求访问的URL,以及配置集合(Collection<ConfigAttribute>)交由accessDecisionManager的decide方法。通过则方法继续,否则抛出AccessDeniedException。


调用runAsManager尝试转换认证信息,这是为了方便适应两层访问控制架构。runAsManager就可以将外部公开的认证,转换为内部认证,继续之后的访问。


之后返回包含访问拦截信息的对象InterceptorStatusToken。以便afterInvocation(InterceptorStatusToken, Object)方法运行。


安全信息元数据提供者:


默认实现DefaultFilterInvocationSecurityMetadataSource构造时通过addSecureUrl(String pattern, String method, Collection<ConfigAttribute> attrs)方法将传入参数转换为私有成员变量Map<String, Map<Object, Collection<ConfigAttribute>>> httpMethodMap缓存,并通过Collection<ConfigAttribute> lookupAttributes(String url, String method)获得第一个能匹配的上的URL模式,并返回其所需要的角色集合Collection<ConfigAttribute>

访问控制管理者:


访问控制管理者AccessDecisionManager需要投票者AccessDecisionVoter列表,调用后者的vote方法。而前者则负责统计所有投票者的投票情况,并做出是否授权的决定。而框架提供了三个统计策略,分别是“只要有一个投票者同意即同意”,“需要所有投票者同意才同意”,“少数服从多数”。分别对应着

AbstractAccessDecisionManager的三个子类AffirmativeBased, UnanimousBased,ConsensusBased。


基于角色的投票者


RoleVoter实现了AccessDecisionVoter接口,其vote方法是这样写的。 
public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        int result = ACCESS_ABSTAIN;
        Collection<GrantedAuthority> authorities = extractAuthorities(authentication);


        for (ConfigAttribute attribute : attributes) {
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;


                // 查找匹配角色
                for (GrantedAuthority authority : authorities) {
                    if (attribute.getAttribute().equals(authority.getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }


        return result;
    }


Collection<GrantedAuthority> extractAuthorities(Authentication authentication) {
        return authentication.getAuthorities();
    }




ps:DefaultFilterInvocationSecurityMetadataSource初始化过程详解


Spring Security 3 访问验证模块的初始化,主要是FilterInvocationSecurityMetadataSource对象加载配置信息的过程。

而FilterInvocationSecurityMetadataSource的实现,我选用了框架提供的默认实现DefaultFilterInvocationSecurityMetadataSource。

在DefaultFilterInvocationSecurityMetadataSource 构造的时候,需要UrlMatcher和LinkedHashMap<RequestKey, Collection<ConfigAttribute>>两个参数。
前者是解析Url的匹配器,框架提供两种选择:一个是AntUrlPathMatcher,另一个是正则匹配。当然也可以自己写,只要实现UrlMatcher接口就行。
第二个参数需要提供 所有的请求URL模板,与其对应所有的配置属性(在RBAC系统中即为“角色码”)。

例如:RequestKey为 /user!add**, Collection<ConfigAttribute>为[ROLE_HR, ROLE_ADMIN]。就是说,能有权限访问用户添加模块的角色为HR,和管理员。


在DefaultFilterInvocationSecurityMetadataSource 的构造方法当中,其通过addSecureUrl(String pattern, String method, Collection<ConfigAttribute> attrs)方法将传入参数转换为私有成员变量Map<String, Map<Object, Collection<ConfigAttribute>>> httpMethodMap;
key是Http方法:主要“GET”"和POST",Value是Key的HTTP方法对应的配置属性集合。key为null时,value为不特定方法的配置属性集合。而Value也是一个Map,它的主键是编译后的URL模板,值为各种角色的ConfigAttribute对象。

imcxin
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
FilterInvocationSecurityMetadataSource方法使用
java牛牛的博客
02-06 1万+
1.Collection getAttributes(Object object) throws IllegalArgumentException; 获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException...
SpringBoot — 安全框架 Spring Security 详解
small_love的专栏
12-09 405
虽然前面我们实现了通过数据库来配置用户与角色,但认证规则仍然是使用HttpSecurity进行配置,还是不够灵活,无法实现资源和角色之间的动态调整。这篇文章我们就介绍一下通过数据库查询某个URL资源的访问角色。 四、基于数据库的URL权限规则配置 1、数据库设计 这里在上一篇文章的基础上再添加 资源表和资源权限表 两种数据表,表结构如下所示: 资源表,保存每个菜单的URL CREATE TABLE `menus` ( `id` bigint(20) unsigned NOT NULL ...
SpringSecurity实现RBAC权限验证
最新发布
weixin_45881125的博客
03-20 1563
基于角色访问控制(RBAC)是一种访问控制策略,用于管理系统、应用程序或网络中的用户对资源的访问权限。RBAC 将用户分配给角色,然后将权限分配给角色,而不是直接将权限分配给个别用户。这种方式简化了权限管理,特别是在大型组织或系统中,可以更轻松地管理权限。角色(Roles):角色是一组具有相似职责或权限需求的用户集合。例如,一个企业应用可能有角色如“管理员”、“普通用户”、“审计员”等。
springsecurity(三)
qq_34172041的博客
03-05 269
5.security filter @Service public class MyFilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter { private static final Logger LOG = LoggerFactory.getLogger(MyFilterSecurityInterceptor.class); @Autowired private Filte
spring security自定义权限拦截FilterInvocationSecurityMetadataSource
热门推荐
lichuangcsdn的博客
07-08 2万+
一般情况下,我们如果需要自定义权限拦截,则需要涉及到FilterInvocationSecurityMetadataSource这个接口了。 这里有个坑爹的地方。如果用户未登录,但是已经设置了拦截白名单的URL,仍然会进入到权限验证里面来。起初,我以为不会进来,但后来跟踪源代码发现,还是会进来。只是此时的身份是一个匿名用户。其默认的实现为DefaultFilterInvocationSecuri...
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 3841
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
Spring Security之动态配置资源权限
Arthur_Holmes的博客
12-20 1448
  在Spring Security中实现通过数据库动态配置url资源权限,需要通过配置验证过滤器来实现资源权限的加载、验证。系统启动时,到数据库加载系统资源权限列表,当有请求访问时,通过对比系统资源权限列表和用户资源权限列表(在用户登录时添加到用户信息中)来判断用户是否有该url的访问权限。   在配置验证过滤器时需要的配置项有如下几个: filterSecurityInterceptor:通过继承AbstractSecurityInterceptor并实现Filter接口自定义一个验证过滤...
FilterInvocationSecurityMetadataSource 接口
qq_60458298的博客
03-25 724
这样,当用户发起请求时,Spring Security 将从 securityMetadataSource 中获取该请求所需的访问控制元数据,并根据这些元数据进行访问控制。总结来说,FilterInvocationSecurityMetadataSource 接口用于获取指定请求所需的访问控制元数据,实现类负责根据请求 URL,从数据库或其他外部数据源中获取相应的访问控制元数据,并将其放置到 Spring Security 的全局缓存中供后续使用。
十、Spring Boot 安全管理(3)
走在bug的路上
08-10 1130
高级配置
Spring Security——基于读写锁的动态权限配置FilterInvocationSecurityMetadataSource实现类
无限迭代中......
03-23 1212
问题描述 每次都加载资源,效率低下。 解决方案 /** * @author ShenTuZhiGang * @version 1.2.0 * @date 2020-03-07 21:57 */ @Slf4j @Component public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource { private fi
MyBatis实现动态授权:FilterInvocationSecurityMetadataSource方法使用
m0_73956769的博客
01-28 238
元数据(Metadata)中的『元(Meta)』可以理解为事物或对象,『数据(data)』当然就是指该对象的相关数据。
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security登录过程逻辑详解
08-19
主要介绍了SSpringsecurity登录过程逻辑详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security基于JWT实现SSO单点登录详解
08-25
主要介绍了Spring Security基于JWT实现SSO单点登录详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring security实现记住我下次自动登录功能过程详解
08-24
主要介绍了Spring security实现记住我下次自动登录功能过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring Security的自定义用户认证过程详解
08-25
主要介绍了spring Security的自定义用户认证过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法
weixin_42947972的博客
02-26 814
关于每次请求都要执行两个,即经过重写FilterInvocationSecurityMetadataSource的getAttributes()方法 执行两次的方法 @Override public Collection<ConfigAttribute> getAttributes(Object object) throws IllegalArgumentException { //获取请求地址 String requestUrl = ((FilterI
自定义实现FilterInvocationSecurityMetadataSource类时自动注入空指针异常
燕雷的博客
04-25 1万+
public class MyInvocationSecurityMetadataSourceService implements FilterInvocationSecurityMetadataSource { @Autowired private IResourceDao resourceDao; //&lt;资源,权限列表&gt;存储所有资源与权限 private stati...
SpringSecurity实现动态菜单访问权限管理
qq_63815371的博客
03-09 3908
目录 1. 首先实现用户实体 1.1.重点讲解 2. 自定义UserDetailsService 2.1 重点讲解 3.自定义 FilterInvocationSecurityMetadataSource 3.1重点讲解 4.自定义 AccessDecisionManager 4.1 重点讲解 5.配置WebSecurityConfigurerAdapter 5.1.重点讲解 6.效果展示
spring security详解
07-27
Spring Security是一个功能强大且灵活的身份验证和访问控制框架,用于保护基于Java的应用程序。它提供了一套全面的安全解决方案,可用于保护Web应用程序、RESTful API、方法级别的安全等。 Spring Security的核心...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值