spring security解析--授权

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量416 收藏 1
点赞数 1
分类专栏: 编程 安全 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dreamsigel/article/details/115392703
版权
本文深入探讨Spring Security的授权流程,包括Authentication认证、ConfigAttributes角色配置、AccessDecisionManager授权管理及实践应用。通过配置类、方法注解、自定义权限源和决策器等方式,详细解析如何在实际开发中实现权限控制。
摘要由CSDN通过智能技术生成

上一篇和大家分享了spring security的认证部分,其实核心思想就是如何管理存储用户凭证的问题。因为第一篇里我们提到,spring security context就是最终的用户凭证。那第二篇认证里,我们就在讨论spring security如何动态的管理存储这些凭证,达到认证的目的。

目录

一、Authentication认证

二、ConfigAttirbutes角色配置

三、AccessDecisionManager授权管理

四、实践

一、配置类。

二、方法。

方式一,secured注解。

方式二,使用表达式注解。

三、自定义。 

1、自定义filter(可选)。

2、自定义SecurityMetadataSource

3、自定义Accessmanager.

这一章,是承上启下的,主要讨论授权的问题。用户登录以后,就存在权限的问题。不可能所有人都有权限访问一样的页面和功能(这里不讨论数据,当然也可以用spring security去处理,但是更多是动态的,跨系统的,所以还是需要数据层面统一管理)。那么,用户登录以后如何管理权限呢?那我们参考架构图一步步来分析一下。

从图上可以看出大体的思路,首先还是通过filter触发验证机制,先拿到上一篇认证里的认证凭证,然后再通过SecurityMetadataSource拿到配置的ConfigAttibutes,再去认证管理器AccessDecisionManager中执行准入认证,得到结果。所以,我们一个个分析每个关键步骤,就搞明白怎么授权的问题了。

一、Authentication认证

这一部分我们上一篇讲过,不再详述。这里要说明的是,上图写到了SecurityContextHolder,所以这个是授权的关键点,那是什么呢?就是第一篇里图里的凭证中提到的GrantedAuthority。也是第二篇认证中最后从Provierder中查询回来的Authority,结合到我们的实际开发,也就是我们数据库里配置的角色ROLE。

讲到这里大家就明白了,其实啊,授权就是拿着角色来判断权限。

二、ConfigAttirbutes角色配置

那角色如何判断呢?我们肯定知道,每个角色都有自己的权限,比如普通员工只能查看请假单申请界面,而管理人员能看到审批界面。这些权限,为了我们方便管理,一般都是配置在数据库里的。这在框架里,也就是ConfigAttributes,角色的权限配置。当然,ConfigAttributes只是当前用户的角色权限,如何得到的呢?是统一权限配置SecurityMetadataSource管理的。SecurityMetadataSource如下:

public interface SecurityMetadataSource extends AopInfrastructureBean {
	
	Collection<ConfigAttribute> getAttributes(Object object)
			throws IllegalArgumentException;

	
	Collection<ConfigAttribute> getAllConfigAttributes();

	
	boolean supports(Class<?> clazz);
}

可以看出是通过从这个大池子中通过getAttributes获取的。入参数当前用户。

拿到当前用户配置的权限信息以后,就可以对比请求对象是否满足授权。

三、AccessDecisionManager授权管理

准备好上面的内容,就依靠AccessDecisionManager这个管理器去校验授权信息。我们看下接口方法:

public interface AccessDecisionManager {
	
	void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,
			InsufficientAuthenticationException;

	
	boolean supports(ConfigAttribute attribute);


	boolean supports(Class<?> clazz);
}

也就验证了我们上面说的,拿到当前用户Authentication,ConfigAttributes,然后有当前访问对象的Object,进行对比,满足就通过。

当然,spring为AccessDecisionManager做了扩展,提供了投票机制,支持多路共同决策机制。AffirmativeBased是只要有一票就通过;ConsensusBased是大多数通过;UnanimousBased是一票否决。类图如下:

以上,架构设计层次的说明就差不多了。那么,实际开发当中,首次接触,我到底如何下手呢?我们也来说明一下。

四、实践

配置大概从三种方式入手。

一、配置类。

在webSecurityConfig中可以使用表达式处理一些固定请求:

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize                                  
            .mvcMatchers("/resources/**", "/signup", "/about").permitAll()         
            .mvcMatchers("/admin/**").hasRole("ADMIN")                             
            .mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")   
            .anyRequest().denyAll()                                                
        );
}
最低0.47元/天 解锁文章
梦醉天下
关注
专栏目录
spring-security-jwt-demo.zip
11-19
- 授权管理:Spring Security可以根据JWT中的角色信息,决定用户对哪些资源有访问权限。 4. 示例项目"spring-security-jwt-demo": "spring-security-jwt-demo"是一个实战项目,它演示了如何在Spring Boot应用中...
SpringSecurity动态鉴权流程解析
q66562636的博客
05-22 2213
楔子 上一篇文我们讲过了SpringSecurity的认证流程,相信大家认真读过了之后一定会对SpringSecurity的认证流程已经明白个七八分了,本期是我们如约而至的动态鉴权篇,看这篇并不需要一定要弄懂上篇的知识,因为讲述的重点并不相同,你可以将这两篇看成两个独立的章节,从中撷取自己需要的部分。 祝有好收获。 本文代码:码云地址 GitHub地址 1. SpringSecurity的鉴权原理 上一篇文我们讲认证的时候曾经放了一个图,就是下图: 整个认证的过程其实一直在围绕图中过滤.
spring security中遇到的问题
qq_43644023的博客
10-04 6419
1.An Authentication object was not found in the Security Context 在security上下文中没有找到一个认证对象,我这边的问题在于controller中方法添加了认证注解,但是配置类中 源自于一片我为了解决拦截静态文件的博客,上面说这个忽视目录会以classpath中的static文件夹,实际上这样写有着很大问题,这边会让所有的文件不拦截,虽然你的http认证添加了拦截,但是web这个会影响到效果,所以一边允许所有文件不拦截,一边control
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 3752
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、二维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
activiti中报错An Authentication object was not found in the SecurityContext
热门推荐
京北游戏官方
01-06 1万+
org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext 这是因为activiti7与springboot整合中集成了springsecurity 虽然你的用户赋予了权限 但是你执行方法的时候没有定义是哪个用户在执行方法 要不就整完全点写登录页面 要不就自定义用户去执行
架构小白到砖家-16-【权限管理问题】-springsecurity处理动态权限验证
jea_dong的博客
01-17 605
权限管理也面临数据存储同样的动态处理问题,默认security都是使用提前配置权限设置,或者使用注解控制方法权限,但是这就造成了硬编码的问题,实际生产中权限是根据业务要求进行动态调整的。 为了解决硬编码问题,就需要动态获取权限信息。 权限信息包含两部分信息,用户拥有权限和资源访问权限。 用户拥有权限,在登录的时候是可以动态进行加载的。 资源访问权限,如果使用security默认的java代码配置方...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
spring-boot spring-security-oauth2 完整demo
11-22
Spring Boot、Spring Security与OAuth2的完整示例解析》 在现代Web开发中,安全性是不可忽视的重要一环。Spring Boot、Spring Security和OAuth2是Java生态系统中用于构建安全Web应用的三大利器。本篇文章将围绕...
spring-security-web源码所需jar包
12-03
Spring Security Web源码解析与相关依赖》 Spring Security Web是Spring Security框架的重要组成部分,它主要负责Web应用程序的安全性,包括认证和授权等核心功能。本文将深入探讨Spring Security Web的源码,并...
spring-security-ldap-2.0.1
05-19
Spring Security LDAP 2.0.1:深度解析与实战指南》 在Java企业级开发中,Spring Security作为一款强大的安全框架,为应用程序提供了全面的安全管理解决方案。而其与LDAP(Lightweight Directory Access Protocol...
Spring-Security-Oauth2
07-09
**Spring Security Oauth2 深度解析** Spring Security Oauth2 是一个广泛使用的Java安全框架,用于构建安全、授权的Web应用。Oauth2 是一个开放标准,它定义了授权流程,允许第三方应用访问资源服务器上的受保护...
class<?> clazz参数_SpringBoot教程30整合SpringMVC之WebDataBinder处理请求参数绑定(二)
weixin_39763033的博客
11-26 287
SpringBoot2.x系列教程30--整合SpringMVC之WebDataBinder处理请求参数的绑定(二)作者:一一哥在上一章节,SpringBoot2.x系列教程29--整合SpringMVC之@InitBinder处理请求参数的绑定(上)的内容中,我给大家讲解了@InitBinder的原理及使用教程,本章节我继续讲解SpringMVC中的参数传递及数据绑定。本章节主要是讲解WebDa...
Spring Security权限管理原理
Littlemotor
11-29 2400
授权是更具系统提前设置好的规则,给用户分配可以访问某一资源的权限,用户根据自己所具有的权限,去执行相应的操作,spring security提供的权限管理功能主要有两种: 基于过滤器的权限管理功能(FilterSecurityInterceptor) 基于AOP的权限管理功能(MethodSecurityInterceptor)
SpringSecurity过滤请求导致的系统bug
ybb_ymm的专栏
02-24 2042
今天开发一个新的会员管理系统,继承了SpringSecurity的,用以控制权限。结果无论怎么配置,都会报错:An Authentication object was not found in the SecurityContext这句话的意思很明确:指的就是在SecurityContext中找不到身份验证对象。
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6288
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
org.springframework.security.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityC
^_^-Beluga, ^_^-Stefli
05-24 7496
<br />Reference:<br />1.5. I get an exception with the message "An Authentication object was not found in the SecurityContext". What's wrong? This is a another debug level message which occurs the first time an anonymous user attempts to access a p
acegi的一个异常错误
silence1214的专栏
12-01 4314
<br />昨天学习acegi,发现一个异常<br />org.acegisecurity.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext at org.acegisecurity.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterce
动态权限常见问题(一)
PointerIsSoul的博客
04-06 647
问题描述:FilterInvocationSecurityMetadataSource 下的 getAttributes(Object o)方法执行完后不走AccessDecisionManager的实现类 解决办法: getAttributes 方法返回一个 无权限,而不是返回null Collection<ConfigAttribute> collection = new LinkedList<>(); //防止数据库中没有数据,不能进行权限拦截
微人事——Spring Security权限管理(二)
Gsasuke的博客
01-18 294
权限管理(二) 权限功能 1、数据库 因为是权限管理所以需要根据用户的role来查找所对应的权限menu 简单来说分为两步: 第一步,用户先从前端发起一个http请求,拿到http请求地址之后,我先去分析地址和数据库中的menu表中的哪一个url是相匹配的。就先看一下用户的请求地址跟这里边的哪一个是吻合的。 第一步的核心目的是根据用户的请求地址分析出来它所需要的角色,就是当前的请求需要哪些角色才能访问 第二步是去判断当前用户是否具备它需要的角色 2、UrlFilterInvocationSecurit
SpringSecurity权限控制解析 - 命名空间配置方案
Spring Security是一个强大的安全框架,它基于Spring框架,为J2EE应用提供全面的安全服务,包括用户认证和授权。" 在Spring Security的配置中,一个关键的步骤是设置过滤器。在提供的描述中,可以看到一个示例的`...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值