Spring Security(六):授权体系

最新推荐文章于 2024-02-14 16:08:52 发布
最新推荐文章于 2024-02-14 16:08:52 发布
阅读量382 收藏
点赞数
分类专栏: 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Shair911/article/details/104187501
版权

授权体系

  • Spring Security 授权介绍
    • Spring Security使用AccessDecisionManager来鉴定当前用户是否有访问对应受保护对象的权限
      在这里插入图片描述
  • AccessDecisionManager 接口
public interface AccessDecisionManager {
	/**
	 * Resolves an access control decision for the passed parameters.
	 * 认证过的票据Authentication,确定了谁正在访问资源
	 * @param authentication the caller invoking the method (not null)
	 * 被访问的资源object
	 * @param object the secured object being called
	 * 访问资源要求的权限配置ConfigAttributeDefinition
	 * @param configAttributes the configuration attributes associated with the secured
	 * object being invoked
	 * 从票据中可以获取认证用户所拥有的权限,再对比访问资源要求的权限,即可断定当前认证用户是否能够访问该资源
	 */
	void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,InsufficientAuthenticationException;
	
	boolean supports(ConfigAttribute attribute);
	
	boolean supports(Class<?> clazz);
	
}
  • AccessDecisionVoter 接口
    • Spring Security引入了投票器的概念,真正的授权功能是通过一组AccessDecisionVoter来实现的
    • AccessDecisionManager维护着一个AccessDecisionVoter列表参与授权的投票。根据处理投票的策略不同,Spring Security中AccessDecisionManager有3个不同的实现
      • UnanimousBased(全票通过):所有投票器都通过才允许访问资源
      • ConsensusBased(少数服从多数):超过一半的投票器通过才允许访问资源
      • AffirmativeBased(一票通过):只要有一个投票器投票通过,就允许访问资源
    • AccessDecisionVoter的vote方法,实现了投票的逻辑,vote方法需要的参数和AccessDecisionManager的decide方法相同,实际上AccessDecisionManager的功能就是委托给AccessDecisionVoter实现
    • Spring Security中有很多AccessDecisionVoter的实现,最简单的有RoleVoter。RoleVoter通过将Authentication里面获取的权限信息,与从
      ConfigAttributeDefinition配置的访问资源需要的权限对比,来投票通过,或拒绝,或弃权

授权案例

  • 自定义AccessDecisionManager
public class MyAccessDecisionManager implements AccessDecisionManager {
    
    private static final Logger logger = LoggerFactory.getLogger(MyAccessDecisionManager.class);
    private Map<String, List<String>> map = new HashMap<>();
    public MyAccessDecisionManager() {
        //登陆用户-访问地址映射表
        map.put("zhangsan", Arrays.asList("/index", "/home", "/ok"));
        map.put("admin", Arrays.asList("/index", "/home", "/admin","/ok"));
    }
     /**
     * 如果验证不通过,则需要抛出AccessDeniedException异常
     * <p>
     * 和登陆有关的url必须要通过验证,否则会陷入死循环
     */
     @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
            throws AccessDeniedException, InsufficientAuthenticationException {

        logger.info(" * * * * * * * * decide  * * * * * * * * ");
        logger.info("authentication: " + authentication);
        logger.info("object: " + object);
        logger.info("configAttributes: " + configAttributes);

        FilterInvocation fi = (FilterInvocation) object;
        String url = fi.getHttpRequest().getRequestURI();
        if (url.endsWith(".html") || url.endsWith(".htm") || url.endsWith(".css") || url.endsWith(".js")) {
            //静态页面不用校验
            return;
        } else if ("/loginHome".equals(url) || "/loginFail".equals(url) || "/doLogin".equals(url)) {
            //登陆地址用校验
            return;
        }
        String user = authentication.getName();
		logger.info("user: " + user);
        List<String> list = map.get(user);
        if (list == null || list.isEmpty()) {
            throw new AccessDeniedException("无此权限");
        }
        for (String attr : list) {
            if (url.equals(attr)) {
                return;
            }
        }
        throw new AccessDeniedException("无此权限");
    }
    @Override
    public boolean supports(ConfigAttribute attribute) {
		logger.info(" * * * * * * * * supports(ConfigAttribute attribute) : " + attribute);
        return true;
    }
    @Override
    public boolean supports(Class<?> clazz) {
		logger.info(" * * * * * * * * supports(Class<?> clazz) : " + clazz);
        return FilterInvocation.class.equals(clazz);
    }
}
  • 将自定义MyAccessDecisionManager 加入WebSecurityConfig
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    	http.authorizeRequests().anyRequest().authenticated();
    	//添加自定义MyAccessDecisionManager 
    	http.authorizeRequests().accessDecisionManager(new MyAccessDecisionManager());
    	http.formLogin();
    	http.logout();
    }
}
@shair911
关注
专栏目录
spring security认证授权流程
weixin_47618391的博客
05-27 5492
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Spring Security授权
Leon_Jinhai_Sun的博客
05-04 302
当完成认证后,接下米就是授权了。在 Spring Security授权体系中,有两个关键接口, AccessDecisionManager AccessDecisionManager (访问决策管理器),用来决定此次访问是否被允许。 AccessDecisionVoter AccessDecisionVoter (访问决定投票器),投票器会检查用户是否具备应有的角色,进而投出赞成、反对或者弃权票。 AccesDecisionVoter 和 AccessDecisionManager
Google 授权体系
iteye_5555的博客
03-25 827
  Google API 授权体系   访问 Google API 或者 Google 里面的数据时,第三方应用程序通常需要从首先从 Google 拿到授权。比如说,用户使用了一个第三方应用程序,而此应用程序需要拿用户的日历信息,代表用户拿到 calendar 的信息,首先必须从 Google 得到授权,不能说谁都可以拿用户的敏感信息吧。因此 Goog...
Spring Security 认证授权
Voryla的博客
11-21 3123
Spring Security 认证授权 1. 基本概念 1.1 什么是认证 ​ **认证(what):**认证就是判断一个用户身份是否合法的过程。当用户某项资源时,需要验证他的身份信息,身份合法能够访问资源,身份不合法不允许访问资源。 ​ **为什么需要认证(Why)????*认证的必要性存在于两个方面,其一:保护用户的数据、隐私安全;其二:保护服务器减少被攻击的概率。 ​ **认证的方式(Who):**账号密码认证,指纹认证,手机短信认证,人脸认证。 1.2 什么是会话 ​ **会话:**
认证授权-SpringSecurity
木子Teng的博客
01-11 1589
如何实现授权?业界通常基于 RBAC 模型(Role-Based Access Control -> 基于角色的访问控制)实现授权。RBAC 认为授权实际就是who,what,how三者之间的关系(3W),即 who 对 what 进行 how 的操作。Spring Security 是为基于 Spring 的企业应用系统提供声明式的安全访问控制解决方案的安全框架(包含: 认证 , 授权两个方面)。
spring-security:使用Spring Boot的Spring Security
02-16
Spring SecuritySpring生态体系中的一个强大且高度可配置的安全框架,用于处理Web应用程序的安全性问题。在Spring Boot项目中集成Spring Security,可以极大地简化安全设置,使得开发者能够快速地为应用添加认证和...
Spring-SecuritySpring安全性的所有概念
02-08
Spring SecuritySpring生态体系中的一个核心组件,专为Java应用程序提供全面的安全服务。它是一个强大的、高度可定制的身份验证和授权框架,适用于Web应用程序和基于Java的后台服务。本篇文章将深入探讨Spring ...
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
04-22
本教程将探讨如何使用Spring Boot结合Spring Security、OAuth2和JWT(JSON Web Token)来搭建一个认证服务器、API网关以及微服务之间的权限认证和授权机制。 首先,Spring SecuritySpring框架的一个模块,专门...
Spring Security 3.0:权限管理详解与实战配置
Spring Security 3.0 的应用旨在构建一个健壮且灵活的权限管理体系,帮助企业确保系统的安全性,减少潜在的风险。通过上述概述,企业可以根据项目需求,结合Spring Security的功能,高效地管理用户的身份验证和授权...
统一安全认证(基于Spring Security 3)
09-21
Java语言开发的统一角色访问控制系统(Unified Role Access Control System),基于Spring Security 3实现的权限控制系统 程序框架版本说明:Spring MVC 3.0.6 + Spring Security 3.1.3 + Hibernate 3.6.10 运行演示例子: 例子使用的是MySQL数据库,也可以支持其它数据库 使用 CreateDb_MySQL.sql 创建好数据库,然后将 URACS.Web.war 部署到 Tomcat下 数据库连接默认使用root用户,密码123456(可修改 jdbc-app.properties 文件) 启动Tomcat,访问 http://127.0.0.1:8080/URACS.Web 可使用超级用户 admin,密码 admin 登录 开发者:李锡远 人称:远哥 博客:http://taven.cnblogs.com 开源地址:https://github.com/tavenli/URACS QQ:17020415
Spring Security的认证和授权(1)
weixin_43831002的博客
08-02 2021
Shiro本身是一个老牌的安全管理框架,有着众多的优点,例如轻量、简单、易于集成、可以在JavaSE环境中使用等。不过,在微服务时代,Shiro就显得力不从心了,在微服务面前,它无法充分展示自己的优势。也有开发者选择自己实现安全管理,这一部分人不在少数,但是一个系统的安全,不仅仅是登录和权限控制这么简单,我们还要考虑各种各样可能存在的网络攻击以及防御策略,从这个角度来说,开发者自己实现安全管理也并非是一件容易的事情,只有大公司才有足够的人力物力去支持这件事情。...
Spring Security(新版本)实现权限认证与授权
热门推荐
weixin_46073538的博客
02-02 4万+
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是认证和授权,一般来说,Web 应用的安全性包括**用户认证(Authentication)和用户授权(Authorization)**两个部分,这两点也是 SpringSecurity 重要核心功能。
Spring Security基本框架之认证和授权
大后生大大大的博客
11-11 933
Authentication、AuthenticationManager、AuthenticationProvider、ProviderManagerAccessDecisionMamager、AccessDecisionVoter
spring security 认证授权详解
小趴菜不能喝的博客
10-14 1515
详细介绍spring security认证授权流程
Spring Security 简单认证与授权
贵在坚持
05-31 652
本文仅举例 Spring Security 简单的认证与授权,仅供参考
Spring Security 详解与实操第一节 认证体系与密码安全
fegus的博客
05-01 741
开篇词 Spring Security,为你的应用安全与职业之路保驾护航 你好,我是鉴湘,拉勾教育专栏《Spring Cloud 原理与实战》《Spring Boot 实战开发》《Spring 响应式编程实战》《ShardingSphere 核心原理精讲》的作者。 我拥有 10 年以上大型 Java EE 和分布式系统构建及优化经验,曾带领 100+ 人团队完成了基于 Spring 家族技术体系的亿级用户应用系统建设,对基于 Spring 框架进行系统开发和维护有着丰富的实践经验。 在从业生涯中,我带过不
如何利用SpringSecurity进行认证与授权
最新发布
qq_63218110的博客
02-14 5218
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
Spring Security入门6:Spring Security的默认配置
Designer 小郑的技术博客
01-10 1955
Spring Security 是一个强大且灵活的身份验证和授权框架,用于保护 Java Web 应用程序中的资源,它提供了一套丰富的功能,用于处理身份验证、授权、密码编码和会话管理等安全相关的任务。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值