Spring Security访问控制Authorization

最新推荐文章于 2024-04-19 17:43:36 发布
最新推荐文章于 2024-04-19 17:43:36 发布
阅读量2.9k 收藏 2
点赞数
分类专栏: 其他
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/daiwl1988/article/details/105806440
版权

文章目录

Authorization架构

用户权限Authorities

在用户请求通过身份认证后,会在上下文中存储用户信息Authentication,其中Authorities是用户的权限
在这里插入图片描述
Authorities是GrantedAuthority接口实例的集合(List),GrantedAuthority接口只有一个方法getAuthority(),该方法返回结果类型为String,代表用户的权限。GrantedAuthority由AuthenticationManager管理创建,AccessDecisionManager会读取GrantedAuthority。
在SpringSecurity中只包含了一个GrantedAuthority的具体实现类,SimpleGrantedAuthority,它支持使用字符串表示访问权限。但是在某些业务复杂的场景中,如果字符串无法描述权限时,则需要自己对框架进行扩展。
在这里插入图片描述

前置调用处理

AccessDecisionManager

AccessDecisionManager 接口会被Spring Security的AbstractSecurityInterceptor 调用,来控制访问权限,其包含的方法见以下类图:在这里插入图片描述

  • decide方法实现了权限判定,传入参数包括Authentication authentication用户信息,Object secureObject被保护的对象,例如一个方法调用,Collection attrs开发人员根据业务进行的权限配置信息。当用户的权限不符合被保护对象的要求时,会抛出AccessDeniedException异常
  • supports(ConfigAttribute attribute): 会在启动时被调用,判断权限配置信息能否支持
  • supports(Class clazz) :判断目标类能否支持

基于选举机制的AccessDecisionManager

Spring Security中包含多种AccessDecisionManager接口的实现,它们都是基于选举机制的。
在这里插入图片描述
AbstractAccessDecisionManager中聚合了AccessDecisionVoter ,AccessDecisionVoter 用于实现投票选举过程,来判定是否抛出AccessDeniedException 异常
AccessDecisionVoter接口包含三个方法:
在这里插入图片描述

  • vote:返回int结果,其值有三个ACCESS_GRANTED = 1,ACCESS_ABSTAIN = 0,ACCESS_DENIED = -1,当AccessDecisionVoter不能判断权限时返回ACCESS_ABSTAIN(弃权),否则就要返回ACCESS_GRANTED(授权)或ACCESS_DENIED(拒绝)
  • boolean supports(ConfigAttribute attribute) :功能同AccessDecisionManager
  • boolean supports(Class clazz):功能同AccessDecisionManager

Spring Security中有三种AccessDecisionManager的具体实现,实现了三种不同的投票机制:

  • ConsensusBased:所有投票者通过则授权,所有投票者拒绝则拒绝
  • AffirmativeBased:当有一个投票者同意则授权,所有投票者拒绝才决绝
  • UnanimousBased :当所有投票者同意才授权,有一个投票者拒绝则拒绝
    以上三种实现都提供了参数配置,控制所有投票者都弃权的情况下该如何处理。如果以上都不能满足业务需求,可以自己实现AccessDecisionManager接口进行扩展。

RoleVoter

最常用的AccessDecisionVoter的实现就是RoleVoter,RoleVoter将配置的属性ConfigAttribute视作角色名字,如果用户被分配的相应的角色就会投赞成票。
RoleVoter会在ConfigAttribute 中包含ROLE_开头的属性时进行选举投票,如果用户的角色包含在ConfigAttribute中则投赞成票,在ConfigAttribute没有就投拒绝票,如果ConfigAttribute没有ROLE_开头的属性则投弃权票

AuthenticatedVoter

AuthenticatedVoter是用来区分anonymous, fully-authenticated 和remember-me用户认证的,例如有些网站支持一些特定访问路径支持remember-me认证,其它的路径则需要用户进行登录

其它AccessDecisionVoter

在这里插入图片描述

AccessDecisionVoter还有其他类型,例如WebExpressionVoter用来处理web授权投票,支持表达式。也可以根据自己的需求自定义AccessDecisionVoter

后置调用处理

尽管AbstractSecurityInterceptor会在执行被保护的对象前调用AccessDecisionManager,但一些应用需要修改被保护对象的返回值,虽然可以通过AOP组件来实现这个目的,但Spring Security也提供了一种便捷的方式。
下图为事后调用处理AfterInvocationManager的类图:
在这里插入图片描述
接口AfterInvocationManager只有一个实现类AfterInvocationProviderManager,AfterInvocationProviderManager聚合了AfterInvocationProvider的List,AfterInvocationProvider可以修改被保护对象的返回值。

HTTP请求访问控制 FilterSecurityInterceptor

FilterSecurityInterceptor提供HTTPServletRequest的访问控制服务,FilterSecurityInterceptor会被编排进SecurityFilterChain中。
在这里插入图片描述
(1)FilterSecurityInterceptor从SecurityContextHolder中提取Authentication信息
(2)FilterSecurityInterceptor创建FilterInvocation,FilterInvocation的构造方法参数为HttpServletRequest, HttpServletResponse, FilterChain,即过滤器的入参
(3)将FilterInvocation 传递给SecurityMetadataSource而获取ConfigAttribute
(4)将Authentication, FilterInvocation, ConfigAttributes传递给AccessDecisionManager
(5)如果访问授权为拒绝,会抛出AccessDeniedException异常,ExceptionTranslationFilter会对此异常进行处理
(6)如果访问授权通过,FilterSecurityInterceptor 会继续调用doFilter方法,继续执行过滤链

Spring Scurity默认会对所有请求进行访问控制,其默认的配置类似以下:

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize
            .anyRequest().authenticated()
        );
}

也可以根据自身需求进行客户化配置:

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize       ①                           
            .mvcMatchers("/resources/**", "/signup", "/about").permitAll().mvcMatchers("/admin/**").hasRole("ADMIN").mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')").anyRequest().denyAll());
}

① authorizeRequests方法可以配置多条访问控制规则
② 任意用户可以访问以"/resources/****“开头, 等于”/signup", 等于"/about"的URL**
③ 以"/admin/**“开头的URL可以由拥有“ROLE_ADMIN”角色的用户访问
④ 以”/db/“开头的URL可以由同时拥有"ROLE_ADMIN” and "ROLE_DBA"的用户访问
⑤ 其他没有赔匹配的URL都不允许访问,这是一个推荐的配置策略,以防用户忘记配置控制规则

表达式访问控制规则

常见的表达式方法

ExpressionDescription
hasRole(String role)如果当前用户有指定的角色则返回true,例如hasRole(‘admin’)
hasAnyRole(String…​ roles)如果当前用户拥有指定用户的任意一个则返回true,例如hasAnyRole(‘admin’, ‘user’)
hasAuthority(String authority)如果当前用户有指定的权限则返回true,例如hasAuthority(‘read’)
hasAnyAuthority(String…​ authorities)如果当前用户有指定的权限中的任意一个则返回true,例如hasAnyAuthority(‘read’, ‘write’)
principal获取principal对象,代表当前用户
authentication从SecurityContext提取Authentication 对象
permitAll返回true
denyAll返回false
isAnonymous()如果当前用户是匿名用户则返回true
isRememberMe()如果当前用户是remember-me用户
isAuthenticated()如果当前用户是非匿名用户则返回true

Web Security Expressions

当在访问权限配置中使用表达式时,AccessDecisionManager会调用 WebExpressionVoter来进行控制权限的选举投票。
(1) 在Web Security Expressions中引用bean,使用@beanname

http
    .authorizeRequests(authorize -> authorize
        .antMatchers("/user/**").access("@webSecurity.check(authentication,request)")
        ...
    )

(2) Web Security Expressions Path Variables

http
    .authorizeRequests(authorize -> authorize
        .antMatchers("/user/{userId}/**").access("@webSecurity.checkUserId(authentication,#userId)")
        ...
    );
代老板说
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springboot springsecurity动态权限控制
09-18
在这个“springboot springsecurity动态权限控制”的主题中,我们将深入探讨如何在Spring Boot项目中集成Spring Security,实现动态权限控制,让菜单权限的管理更加灵活和高效。 首先,我们需要理解Spring Security...
spring security权限控制
10-15
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本文中,我们将深入探讨Spring Security如何实现权限控制,并通过一个名为"springsecuritydemo4"的示例项目来...
SpringSecurity前后端分离Header中添加Authorization的设置以及跨域问题踩坑记录
qq_61887118的博客
05-01 5676
OPTIONS请求即为预检请求,用于判断后端服务是否能接受OPTIONS请求,注意这个请求是没有Auh字段的。OPTIONS请求失败,我全局配置的CORS应该是晚于自定义的handler,所以出现了即使CORS配置了OPTIONS操作的许可,还是出现跨域问题了。非简单请求的CORS请求,会在正式通信之前,增加一次HTTP查询请求,称为 “预检” 请求(preflight)。由于我向请求头中添加了自定义的属性,所以发送请求时就属于非简单请求。的方法为执行,所以造成了跨域问题,即使自己已经全局配置了跨域。
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 2278
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
spring security登录认证授权
最新发布
weixin_48164819的博客
04-19 1196
spring security登录认证授权
web-security第六期:畅谈 Spring Security Authorization(授权)
Swing
06-13 4813
前几期我们了解了Spring Security Authentication (认证)在确认是本站点的用户后,我们又面临了一个问题:该用户可以访问那些资源,不能访问哪些资源,这都得好好研究研究,今天我们来说道说道Spring Security Authorization(授权) 首先我们来回顾一下 认证的结果: 也就是AUthentication中的内容,我们来逐一分析一下: Principal:这是登录用户的信息,一般是指 UserDetails (它的实现类,在前几期我们有定义) Cr...
配置Spring Security AuthenticationFilter和AuthenticationPrincipal
qiuweifan的博客
04-01 2006
5.自定义Spring Security AuthenticationFilter 最后,让我们编写JWTAuthenticationFilter从请求中获取 JWT 令牌,对其进行验证,加载与令牌关联的用户,并将其传递给 Spring Security - public class JwtAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider tokenProvi
Spring Security 自定义拦截器Filter实现登录认证
qq_34898847的博客
11-16 6165
Spring Security 自定义拦截器Filter 实现登录认证
Spring Authorization Server 的一些核心组件和内置 Filter
小水牛的博客
05-06 3066
Spring Authorization Server 的一些核心组件和内置 Filter
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用中常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
SpringSecurity OAuth2授权端点AuthorizationEndpoint、授权码AuthorizationCodeServices 详解
向心行者
01-09 7093
1、前言   在《授权服务器是如何实现授权的呢?》中,我们可以了解到服务端实现授权的流程,同时了解"/oauth/authorize"授权接口在AuthorizationEndpoint类中定义。这一节,我们将详细分析AuthorizationEndpoint类的实现。 2、AbstractEndpoint抽象类   AuthorizationEndpoint授权端点继承自AbstractEndpoint抽象类,这里我们先分析一下AbstractEndpoint抽象类的实现逻辑。   AbstractEnd
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6199
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
浅析Spring Security 的认证过程及相关过滤器
Innocence_0的博客
02-18 286
浅析Spring Security 的认证过程及相关过滤器
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1243
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
SpringSecurity (4) CSRF 与 CSRF-TOKEN 的处理
O_o
05-17 9468
本文主要介绍SpringSecuritySpringBoot 整合过程中关于 CSRF 的处理
SpringSecurity动态配置权限
小夢書亭的博客
09-14 805
SpringSecurity动态配置权限 自定义 UserDetailsService UserDetailsService 的主要作用是,获取数据库里面的信息,然后封装成对象,我们既然需要从数据库中读取用户,那么我们就需要实现自己的 UserDetailsService ,按照我们的逻辑完成从数据库中获取信息; /** * 主要是封装从数据库获取的用户信息 * * @author yiaz * @date 2019年3月19日10:50:58 */ @Component public c
Spring Security对用户权限进行管理
theVicTory的博客
11-03 2399
基于角色的访问控制 隐式访问控制:根据用户的角色判断是否具有某项操作 显示访问控制:为用户分配某种权限,根据权限判断是否可以进行某种操作。与具体角色无关,权限控制更加灵活 认证( authentication ):是建立主体( principal) 的过程。"主体"不仅指用户,还可以是其他执行操作的系统或设备。 授权(authorization ):或称为"访问控制(access-control), 是指决定是否允许主体在应用程序中执行操作 Spring SecuritySpring中常用的安全服务框架,
spring securityspring authorization server 的区别
05-22
Spring Security 是一个安全框架,用于保护应用程序、API 和服务,它提供了身份验证、授权、会话管理、加密等功能。Spring Security 可以与各种身份验证和授权机制集成,如基于表单的身份验证、基于 OAuth2 的授权等。 Spring Authorization Server 是一个独立的 OAuth2 授权服务器,它是 Spring Security 生态系统中的一部分。它提供了一种简单的方法来配置 OAuth2 授权,包括颁发令牌、撤销令牌、校验令牌等。Spring Authorization Server 不仅可以与 Spring Security 集成,还可以与其他 OAuth2 客户端集成。 简而言之,Spring Security 是一个安全框架,而 Spring Authorization Server 是一个专门用于 OAuth2 授权的服务器。在实践中,Spring SecuritySpring Authorization Server 通常一起使用来保护应用程序和 API。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值