SpringSecurity生成权限流程源码分析

最新推荐文章于 2023-10-28 20:45:28 发布
最新推荐文章于 2023-10-28 20:45:28 发布
阅读量545 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HHoao/article/details/124555415
版权

SpringSecurity生成权限流程源码分析

  1. 自定义match路径,

    @Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .antMatchers("/lib/*", "/js/*").permitAll()
            //配置POST访问/users需要有ADMIN权限
            .mvcMatchers(HttpMethod.POST, "/users").hasRole("ADMIN")
            //允许跨域的所有请求
            .mvcMatchers(HttpMethod.OPTIONS).permitAll()
            //配置GET访问/users所有用户都可以
            .mvcMatchers(HttpMethod.GET,  "/users").hasAnyRole("ADMIN", "USER")
            //配置所有请求都需要授权
            .anyRequest().authenticated()

  2. match调用authorizeRequests()创建自定义的ExpressionUrlAuthorizationConfigurer

    我们直接从ExpressionUrlAuthorizationConfigurer类开始

    它通过获取默认的GrantedAuthorityDefaults.class来定义前缀,但是此类默认不会创建

    所以我们可以通过创建Bean: GrantedAuthorityDefaults.class来自定义前缀

    ExpressionUrlAuthorizationConfigurer在没有 GrantedAuthorityDefaults.class的情况下前缀默认为ROLE_

    GrantedAuthorityDefaults类

    public final class GrantedAuthorityDefaults {
   private final String rolePrefix;
   public GrantedAuthorityDefaults(String rolePrefix) {
      this.rolePrefix = rolePrefix;
   }
   public String getRolePrefix() {return this.rolePrefix; }
}

    ExpressionUrlAuthorizationConfigurer类

    public ExpressionUrlAuthorizationConfigurer(ApplicationContext context) {
   String[] grantedAuthorityDefaultsBeanNames = context.getBeanNamesForType(GrantedAuthorityDefaults.class);
   if (grantedAuthorityDefaultsBeanNames.length == 1) {
      GrantedAuthorityDefaults grantedAuthorityDefaults = context.getBean(grantedAuthorityDefaultsBeanNames[0],
            GrantedAuthorityDefaults.class);
      this.rolePrefix = grantedAuthorityDefaults.getRolePrefix();
   }
   else {
      this.rolePrefix = "ROLE_";
   }
   this.REGISTRY = new ExpressionInterceptUrlRegistry(context);
}

  3. 配置match路径时会调用ExpressionUrlAuthorizationConfigurerantMatcher()方法,该方法通过RequestMatchers.antMatchers(antPatterns)将传入的antPatterns封装成List,最后再把unmappedMatchers 属性设置为该List和返回一个List封装的AuthorizedUrl

  4. AbstractRequestMatcherRegister

    public C antMatchers(String... antPatterns) {
   return chainRequestMatchers(RequestMatchers.antMatchers(antPatterns));
}
protected final C chainRequestMatchers(List<RequestMatcher> requestMatchers) {
    this.unmappedMatchers = requestMatchers;
    return chainRequestMatchersInternal(requestMatchers);
}
protected AuthorizedUrl chainRequestMatchersInternal(List<RequestMatcher> requestMatchers) {
    return new AuthorizedUrl(requestMatchers);
}

    RequestMatchers

    static List<RequestMatcher> antMatchers(HttpMethod httpMethod, String... antPatterns) {
   String method = (httpMethod != null) ? httpMethod.toString() : null;
   List<RequestMatcher> matchers = new ArrayList<>();
   for (String pattern : antPatterns) {
      matchers.add(new AntPathRequestMatcher(pattern, method));
   }
   return matchers;
}

  5. 配置match时还会调用ExpressionUrlAuthorizationConfigurermvcMatchers(method, patterns)方法,该方法调用createMvcMatchersmethod,patterns封装在一个List<MvcRequestMatcher>中,继而返回一个封装了List<MvcRequestMatcher>MvcMatchersAuthorizedUrl

    ExpressionUrlAuthorizationConfigurer

    @Override
public MvcMatchersAuthorizedUrl mvcMatchers(HttpMethod method, String... mvcPatterns) {
    return new MvcMatchersAuthorizedUrl(createMvcMatchers(method, mvcPatterns));
}
protected final List<MvcRequestMatcher> createMvcMatchers(HttpMethod method, String... mvcPatterns) {
    HandlerMappingIntrospector introspector = this.context.getBean(HANDLER_MAPPING_INTROSPECTOR_BEAN_NAME,
                                                                   HandlerMappingIntrospector.class);
    List<MvcRequestMatcher> matchers = new ArrayList<>(mvcPatterns.length);
    for (String mvcPattern : mvcPatterns) {
        MvcRequestMatcher matcher = new MvcRequestMatcher(introspector, mvcPattern);
        opp.postProcess(matcher);
        if (method != null) {
            matcher.setMethod(method);
        }
        matchers.add(matcher);
    }
    return matchers;
}

  6. 返回的Matchers通过调用permitAll、hasRole、hasAnyRole等方法(全部设置权限的方法可以在AuthorizedUrl中找到)设置权限

    我们只分析一个hasRole的源码,如下:

    ExpressionUrlAuthorizationConfigurers

    public ExpressionInterceptUrlRegistry hasRole(String role) {
   return access(ExpressionUrlAuthorizationConfigurer
         .hasRole(ExpressionUrlAuthorizationConfigurer.this.rolePrefix, role));
}
//hasRole将前缀和传入的role拼接在一起
private static String hasRole(String rolePrefix, String role) {
    return "hasRole('" + rolePrefix + role + "')";
}
//该方法调用interceptUrl(具体看下面),并返回REGISTRY
public ExpressionInterceptUrlRegistry access(String attribute) {
    interceptUrl(this.requestMatchers, SecurityConfig.createList(attribute));
    return ExpressionUrlAuthorizationConfigurer.this.REGISTRY;
}
//该方法会将所有requestMatchers封装在UrlMapping中并传入REGISTRY
private void interceptUrl(Iterable<? extends RequestMatcher> requestMatchers,
                          Collection<ConfigAttribute> configAttributes) {
    for (RequestMatcher requestMatcher : requestMatchers) {
        this.REGISTRY.addMapping(
            new AbstractConfigAttributeRequestMatcherRegistry.UrlMapping(requestMatcher, configAttributes));
    }
}

生成权限流程到这里就结束了,至于权限是如何认证的,那就是FilterSecurityIntercepter的事情了。

HHoao
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity
weixin_45450412的博客
02-01 360
Spring Security 一、 Spring Security 简介 1 概括 Spring Security 是一个高度自定义的 安全框架。利用 Spring IoC/DI和 AOP 功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 使用 Spring Secruity 的原因有很多,但大部分都是发现了 javaEE的 Servlet 规范或 EJB 规范中的安全功能缺乏典型企业应用场景。同时认识到他们在 WAR 或 EAR 级别无法移植。因此如果你更换服务器环
权限控制策略
m0_58466443的博客
02-17 467
50-52
身份验证绕过漏洞(CVE-2023-20860)
zkaqlaoniao的博客
10-13 1232
Spring官方发布了Spring Framework 身份认证绕过漏洞(CVE-2023-20860),当Spring Security使用mvcRequestMatcher配置并将**作为匹配模式时,在Spring SecuritySpring MVC 之间会发生模式不匹配,最终可能导致身份认证绕过。
深入Spring Security魔幻山谷-获取认证机制核心原理讲解
朱季谦
02-10 372
文/朱季谦 本文基于Springboot+Vue+Spring Security框架而写的原创学习笔记,demo代码参考《Spring Boot+Spring Cloud+Vue+Element项目实战:手把手教你开发权限管理系统》一书。 这是一个古老的传说。 在神秘的Web系统世界里,有一座名为Spring Security的山谷,它高耸入云,蔓延千里,鸟飞不过,兽攀不了。这座山谷只有一条逼仄的道路可通。然而,若要通过这条道路前往另一头的世界,就必须先拿到一块名为token的令牌,只有这..
Spring SecuritySpring MVC 整合
深圳市多克创新科技有限公司
10-28 725
Spring SecuritySpring MVC 整合
SpringMVC请求路径禁止自动匹配匹配".*"
暮云收尽溢清寒
06-03 1625
SpringMVC中自动匹配请求路径时,默认情况下会自动匹配”.*”的请求, 比如如果请求为“helloword”,方法中匹配路径设置如下:@RequestMapping(value = "helloword", method = RequestMethod.POST)但是如果你将请求修改为“helloword.123”仍然会匹配成功,并进去方法执行。这是因为在springMVC中默认会对不加”.
spring secuity拦截匹配URL权限(RequestMatcher接口详解)
热门推荐
HD243608836的博客
08-06 1万+
原文格式清晰,转载自:https://www.jianshu.com/p/4f9ee6007213 我们知道spring secuity是控制URL的访问权限的,那么spring secuity是怎样拦截匹配URL,我们先看一个接口RequestMatcher 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是tru...
一文搞懂SpringSecurity---[Day05]anyRequest,antMatcher,regexMatchers,mvcMatchers详解
风归去.
07-06 4489
访问控制url匹配在前面讲解了认证中所有常用配置,主要是对 进行操作。而在配置类中 主要是对url进行控制,也就是我们所说的授权(访问控制)。 也支持连缀写法,总体公式为:通过上面的公式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了中 的授权。 antMatcher() 方法定义如下 参数是不定向参数,每一个参数是一个ant表达式,用于匹配URL规则。规则如下:在实际项目中经常需要放行所有静态资源,下面演示放行 js 文件夹下所有脚本文件。 还有一种配置方式是只要是.js
Springboot整合SpringSecurity实现登录认证和鉴权
weixin_44068320的博客
08-12 9647
springboot整合springsecurity实现用户登录认证和鉴权
springsecurity自定义角色权限授权
qq_57517269的博客
03-27 3287
security自定义角色权限 通过注解标记controller的方式与config配置的方式过于繁琐。这样每写一个接口都要去写这个注解,关键还要记相对应的权限,根本不符合当前的开发。 //注解方式 @PreAuthorize("hasAuthority('test')") public RespBean test(){ .... } @Override protected void configure(HttpSecurity http)
最新ssm项目百货中心供应链管理系统+jsp.zip
04-10
6. **报告与分析**:系统内置数据分析模块,生成销售、库存、财务等各种报表,帮助管理层做出决策。 7. **安全性设计**:后端采用Spring Security进行安全控制,确保了用户认证和授权的安全性,保护敏感商业数据不被...
最新ssm项目学生学籍管理系统设计与实现+vue.zip
最新发布
04-10
4. **报表与统计**:系统具备生成各类统计报表的功能,便于教育机构进行数据分析和决策支持。 5. **用户角色与权限**:系统定义了不同用户角色的权限,确保学生信息的安全性和隐私性。 6. **安全性设计**:后端采用...
最新ssm项目网络办公系统+jsp.zip
04-10
7. **报表与分析**:为管理层提供定制的报表生成工具,用于分析业务数据和员工绩效。 8. **安全性与稳定性**:后端采用Spring Security进行安全控制,确保了用户数据的安全性和系统的防护能力。 9. **模块化与可扩展...
最新ssm项目游泳会员管理系统+vue.zip
04-10
5. **数据统计与分析**:系统具备数据统计功能,可以生成会员活动频率、课程参与度等报表,帮助管理者优化服务和提高运营效率。 6. **多角色管理**:系统可能设定了前台接待、教练、财务人员、管理员等不同角色,每...
JAVA上百实例源码以及开源项目
01-03
 Java生成密钥、保存密钥的实例源码,通过本源码可以了解到Java如何产生单钥加密的密钥(myKey)、产生双钥的密钥对(keyPair)、如何保存公钥的字节数组、保存私钥到文件privateKey.dat、如何用Java对象序列化保存私钥...
RequestMatcher(配置忽略url和认证的url)
java牛牛的博客
02-16 7245
一句话简介 匹配HttpServletRequest的简单策略接口RequestMatcher,其下定义了matches方法,如果返回是true表示提供的请求与提供的匹配规则匹配,如果返回的是false则不匹配。 RequestMatcher其实现类: AntPathRequestMatcher:重点 MvcRequestMatcher:重点 RegexRequestMatcher: 根据正则模...
SpringSecurity的配置详解——websecurity
C_1_1_的博客
06-09 4629
Websecurity类主要的继承关系为自Websecurity->AbstractConfiguredSecurityBuilder->AbstractSecurityBuilder,其中上一步调用的build方法就在AbstractSecurityBuilder中 SpringSecurity在这个类中实现了创建FilterChain的方法——performbuild /*...
SpringBoot集成Spring Security(开启菜单权限验证)
m0_59805036的博客
03-16 504
springboot整合springsecurity完成认证和权限,通过from表单形式进行登录。
springSecurity框架下自定义校验流程
qq_41988229的博客
03-17 246
自定义springSecurity接口权限拦截
springsecurity权限控制流程
05-24
Spring Security权限控制流程大致如下: 1. 用户请求资源,例如一个页面或者一个 REST API 接口。 2. Spring Security 拦截该请求,判断该用户是否已经登录。 3. 如果该用户未登录,Spring Security 将请求...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值