本文介绍了SpringSecurity5.6中新增的AuthorizationManager接口,如何从RoleChecker升级到更灵活的动态权限控制,以及如何在HttpSecurity中使用新的授权机制进行权限决策。
RoleChecker roleChecker() {
// 包含了一个符合SpEL要求的方法
// boolean check(Authentication authentication, HttpServletRequest request);
return new JdbcRoleChecker();
}
配置到HttpSecurity:
httpSecurity.authorizeRequests()
.anyRequest()
.access(“@roleChecker.check(authentication,request)”);
在Spring Security 5.6之前这样做是最简单的,需要你深入了解Spring Security和SpEL才行。
AuthorizationManager
Spring Security 5.6 增加了一个新的授权管理器接口AuthorizationManager<T>,它让动态权限的控制接口化了。它用来检查当前认证信息Authentication是否可以访问特定对象T。上面的RoleChecker不就是AuthorizationManager<HttpServletRequest>么?AuthorizationManager将这种访问决策抽象的更加泛化。
@FunctionalInterface
public interface AuthorizationManager {
default void verify(Supplier authentication, T object) {
AuthorizationDecision decision = check(authentication, object);
// 授权决策没有经过允许就403
if (decision != null && !decision.isGranted()) {
throw new AccessDeniedException(“Access Denied”);
}
// todo 没有null 的情况
}
// 钩子方法。
@Nullable
AuthorizationDecision check(Supplier authentication, T object);
}
在Spring Security 5.6中,我们就可以这样去实现了:
httpSecurity.authorizeHttpRequests()
.anyRequest()
.access((authenticationSupplier, requestAuthorizationContext) -> {
// 当前用户的权限信息 比如角色
Collection<? extends GrantedAuthority> authorities = authenticationSupplier.get().getAuthorities();
// 当前请求上下文
// 我们可以获取携带的参数
Map<String, String> variables = requestAuthorizationContext.getVariables();
// 我们可以获取原始request对象
HttpServletRequest request = requestAuthorizationContext.getRequest();
//todo 根据这些信息 和业务写逻辑即可 最终决定是否授权 isGranted
boolean isGranted = true;
return new AuthorizationDecision(isGranted);
});
这样门槛是不是低多了呢?
你还会选择每次修改权限都要打jar包发版的注解权限控制吗?
往期推荐
OAuth 2.0中的scope和RBAC中的role有什么关系
Spring Boot 2.6 正式发布:循环依赖默认禁止、增加SameSite属性…
授权服务框架Spring Authorization Server的过滤器链
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
如果你觉得这些内容对你有帮助,可以扫码获取!!(备注Java获取)
最后
由于文案过于长,在此就不一一介绍了,这份Java后端架构进阶笔记内容包括:Java集合,JVM、Java并发、微服务、SpringNetty与 RPC 、网络、日志 、Zookeeper 、Kafka 、RabbitMQ 、Hbase 、MongoDB、Cassandra 、Java基础、负载均衡、数据库、一致性算法、Java算法、数据结构、分布式缓存等等知识详解。
本知识体系适合于所有Java程序员学习,关于以上目录中的知识点都有详细的讲解及介绍,掌握该知识点的所有内容对你会有一个质的提升,其中也总结了很多面试过程中遇到的题目以及有对应的视频解析总结。
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
总结。**
[外链图片转存中…(img-XS807GB7-1713289337490)]
[外链图片转存中…(img-t7aUICNi-1713289337490)]
《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!
265
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
