Spring源代码解析(十):Spring Acegi框架授权的实现

最新推荐文章于 2024-07-17 02:33:00 发布
最新推荐文章于 2024-07-17 02:33:00 发布
阅读量90 收藏
点赞数
分类专栏: spring 文章标签: Spring 框架 Acegi Access Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iteye_3856/article/details/81860085
版权
我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的: 

//这里是拦截器拦截HTTP请求的入口   
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)   
        throws IOException, ServletException {   
        FilterInvocation fi = new FilterInvocation(request, response, chain);   
        invoke(fi);   
    }   
//这是具体的拦截调用   
    public void invoke(FilterInvocation fi) throws IOException, ServletException {   
        if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)   
            && observeOncePerRequest) {   
           //在第一次进行过安全检查之后就不会再做了   
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
        } else {   
            //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了   
            if (fi.getRequest() != null) {   
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);   
            }   
            //这里是做安全检查的地方   
            InterceptorStatusToken token = super.beforeInvocation(fi);   
            //接着向拦截器链执行   
            try {   
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
            } finally {   
                super.afterInvocation(token, null);   
            }   
        }   
    }  
//这里是拦截器拦截HTTP请求的入口
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }
//这是具体的拦截调用
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
            && observeOncePerRequest) {
           //在第一次进行过安全检查之后就不会再做了
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了
            if (fi.getRequest() != null) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }
            //这里是做安全检查的地方
            InterceptorStatusToken token = super.beforeInvocation(fi);
            //接着向拦截器链执行
            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.afterInvocation(token, null);
            }
        }
    }


我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的: 
 
protected InterceptorStatusToken beforeInvocation(Object object) {   
    Assert.notNull(object, "Object was null");   

    if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {   
        throw new IllegalArgumentException("Security invocation attempted for object "  
            + object.getClass().getName()   
            + " but AbstractSecurityInterceptor only configured to support secure objects of type: "  
            + getSecureObjectClass());   
    }   
    //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置   
    ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);   

    if (attr == null) {   
        if(rejectPublicInvocations) {   
            throw new IllegalArgumentException(   
                  "No public invocations are allowed via this AbstractSecurityInterceptor. "  
                + "This indicates a configuration error because the "  
                + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");   
        }   

        if (logger.isDebugEnabled()) {   
            logger.debug("Public object - authentication not attempted");   
        }   

        publishEvent(new PublicInvocationEvent(object));   

        return null; // no further work post-invocation   
    }   


    if (logger.isDebugEnabled()) {   
        logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());   
    }   
    //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去   
    if (SecurityContextHolder.getContext().getAuthentication() == null) {   
        credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",   
                "An Authentication object was not found in the SecurityContext"), object, attr);   
    }   

    // 如果前面没有处理鉴权,这里需要对鉴权进行处理   
    Authentication authenticated;   

    if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {   
        try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理   
            authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()   
                                                                                         .getAuthentication());   
        } catch (AuthenticationException authenticationException) {   
            throw authenticationException;   
        }   

        // We don't authenticated.setAuthentication(true), because each provider should do that   
        if (logger.isDebugEnabled()) {   
            logger.debug("Successfully Authenticated: " + authenticated.toString());   
        }   
        //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用   
        SecurityContextHolder.getContext().setAuthentication(authenticated);   
    } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication   
        authenticated = SecurityContextHolder.getContext().getAuthentication();   

        if (logger.isDebugEnabled()) {   
            logger.debug("Previously Authenticated: " + authenticated.toString());   
        }   
    }   

    // 这是处理授权的过程   
    try {   
        //调用配置好的AccessDecisionManager来进行授权   
        this.accessDecisionManager.decide(authenticated, object, attr);   
    } catch (AccessDeniedException accessDeniedException) {   
        //授权不成功向外发布事件   
        AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,   
                accessDeniedException);   
        publishEvent(event);   

        throw accessDeniedException;   
    }   

    if (logger.isDebugEnabled()) {   
        logger.debug("Authorization successful");   
    }   

    AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);   
    publishEvent(event);   

    // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空   
    Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);   

    if (runAs == null) {   
        if (logger.isDebugEnabled()) {   
            logger.debug("RunAsManager did not change Authentication object");   
        }   

        // no further work post-invocation   
        return new InterceptorStatusToken(authenticated, false, attr, object);   
    } else {   
        if (logger.isDebugEnabled()) {   
            logger.debug("Switching to RunAs Authentication: " + runAs.toString());   
        }   

        SecurityContextHolder.getContext().setAuthentication(runAs);   

        // revert to token.Authenticated post-invocation   
        return new InterceptorStatusToken(authenticated, true, attr, object);   
    }   
}  

    protected InterceptorStatusToken beforeInvocation(Object object) {
        Assert.notNull(object, "Object was null");

        if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException("Security invocation attempted for object "
                + object.getClass().getName()
                + " but AbstractSecurityInterceptor only configured to support secure objects of type: "
                + getSecureObjectClass());
        }
        //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置
        ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);

        if (attr == null) {
            if(rejectPublicInvocations) {
                throw new IllegalArgumentException(
                      "No public invocations are allowed via this AbstractSecurityInterceptor. "
                    + "This indicates a configuration error because the "
                    + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");
            }

            if (logger.isDebugEnabled()) {
                logger.debug("Public object - authentication not attempted");
            }

            publishEvent(new PublicInvocationEvent(object));

            return null; // no further work post-invocation
        }


        if (logger.isDebugEnabled()) {
            logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());
        }
        //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",
                    "An Authentication object was not found in the SecurityContext"), object, attr);
        }

        // 如果前面没有处理鉴权,这里需要对鉴权进行处理
        Authentication authenticated;

        if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {
            try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理
                authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()
                                                                                             .getAuthentication());
            } catch (AuthenticationException authenticationException) {
                throw authenticationException;
            }

            // We don't authenticated.setAuthentication(true), because each provider should do that
            if (logger.isDebugEnabled()) {
                logger.debug("Successfully Authenticated: " + authenticated.toString());
            }
            //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用
            SecurityContextHolder.getContext().setAuthentication(authenticated);
        } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication
            authenticated = SecurityContextHolder.getContext().getAuthentication();

            if (logger.isDebugEnabled()) {
                logger.debug("Previously Authenticated: " + authenticated.toString());
            }
        }

        // 这是处理授权的过程
        try {
            //调用配置好的AccessDecisionManager来进行授权
            this.accessDecisionManager.decide(authenticated, object, attr);
        } catch (AccessDeniedException accessDeniedException) {
            //授权不成功向外发布事件
            AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,
                    accessDeniedException);
            publishEvent(event);

            throw accessDeniedException;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Authorization successful");
        }

        AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);
        publishEvent(event);

        // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空
        Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);

        if (runAs == null) {
            if (logger.isDebugEnabled()) {
                logger.debug("RunAsManager did not change Authentication object");
            }

            // no further work post-invocation
            return new InterceptorStatusToken(authenticated, false, attr, object);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug("Switching to RunAs Authentication: " + runAs.toString());
            }

            SecurityContextHolder.getContext().setAuthentication(runAs);

            // revert to token.Authenticated post-invocation
            return new InterceptorStatusToken(authenticated, true, attr, object);
        }
    }

到这里我们假设配置AffirmativeBased作为AccessDecisionManager: 

//这里定义了决策机制,需要全票才能通过   
    public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)   
        throws AccessDeniedException {   
        //这里取得配置好的迭代器集合   
        Iterator iter = this.getDecisionVoters().iterator();   
        int deny = 0;   
        //依次使用各个投票器进行投票,并对投票结果进行计票   
        while (iter.hasNext()) {   
            AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();   
            int result = voter.vote(authentication, object, config);   
            //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票   
            switch (result) {   
            case AccessDecisionVoter.ACCESS_GRANTED:   
                return;   

            case AccessDecisionVoter.ACCESS_DENIED:   
            //这里对反对票进行计数   
                deny++;   

                break;   

            default:   
                break;   
            }   
        }   
        //如果有反对票,抛出异常,整个授权不通过   
        if (deny > 0) {   
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",   
                    "Access is denied"));   
        }   

        // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制   
        checkAllowIfAllAbstainDecisions();   
    }   
具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票:   
    public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {   
        int result = ACCESS_ABSTAIN;   
        //这里取得资源的安全配置   
        Iterator iter = config.getConfigAttributes();   

        while (iter.hasNext()) {   
            ConfigAttribute attribute = (ConfigAttribute) iter.next();   

            if (this.supports(attribute)) {   
                result = ACCESS_DENIED;   

                // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置   
                // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。   
                for (int i = 0; i < authentication.getAuthorities().length; i++) {   
                    if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {   
                        return ACCESS_GRANTED;   
                    }   
                }   
            }   
        }   

        return result;   
    }  

//这里定义了决策机制,需要全票才能通过
    public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
        throws AccessDeniedException {
        //这里取得配置好的迭代器集合
        Iterator iter = this.getDecisionVoters().iterator();
        int deny = 0;
        //依次使用各个投票器进行投票,并对投票结果进行计票
        while (iter.hasNext()) {
            AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();
            int result = voter.vote(authentication, object, config);
            //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票
            switch (result) {
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;

            case AccessDecisionVoter.ACCESS_DENIED:
            //这里对反对票进行计数
                deny++;

                break;

            default:
                break;
            }
        }
        //如果有反对票,抛出异常,整个授权不通过
        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                    "Access is denied"));
        }

        // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制
        checkAllowIfAllAbstainDecisions();
    }


具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票: 
 public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {
        int result = ACCESS_ABSTAIN;
        //这里取得资源的安全配置
        Iterator iter = config.getConfigAttributes();

        while (iter.hasNext()) {
            ConfigAttribute attribute = (ConfigAttribute) iter.next();

            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置
                // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。
                for (int i = 0; i < authentication.getAuthorities().length; i++) {
                    if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }

上面就是对整个授权过程的一个分析,从FilterSecurityInterceptor拦截Http请求入手,然后读取对资源的安全配置以后,把这些信息交由AccessDecisionManager来进行决策,Spring为我们提供了若干决策器来使用,在决策器中我们可以配置投票器来完成投票,我们在上面具体分析了角色投票器的使用过程。
iteye_3856
关注
专栏目录
SpringSecurity解决公共接口自定义权限验证失效问题,和源码分析
紫眸的博客
04-25 1万+
SpringSecurity自定义权限验证、解决鉴权失效和公共接口问题 本文主要介绍如何使用spring-security实现自定义的权限验证,以及如何解决鉴权时部分接口鉴权失效变成公共接口的问题,用户登录认证的部分已省略。 自定义权限验证的实现 SpringSecurity自定义权限验证时需要实现三个接口: AccessDecisionManager : 自定义鉴权管理器,根据URL资源权...
基于springAcegi安全框架认证与授权的分析及扩展.pdf
11-22
基于springAcegi安全框架认证与授权的分析及扩展.pdf
Spring Acegi框架授权实现
Hello World!
03-16 1014
原文网址:http://www.bianceng.cn/Programming/Java/201103/25348.htm 我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的: Java代码   //这里是拦截器拦截HTTP请求的入口    public void doFilter(ServletRequest request, ServletRes
Spring Security内置过滤器详解_springsecurity过滤器
最新发布
2401_85358044的博客
07-17 1100
我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。
浅析Spring Security 的认证过程及相关过滤器
qq_44005305的博客
02-09 455
上一篇文章浅析Spring Security 核心组件中介绍了Spring Security的基本组件,有了前面的基础,这篇文章就来详细分析下Spring Security的认证过程。Spring Security 的核心之一就是它的过滤器链,我们就从它的过滤器链入手,下图是Spring Security 过滤器链的一个执行过程,本文将依照该过程来逐步的剖析其认证过程。
Spring Security内置过滤器详解
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-14 3984
根据前面的示例,我们已经知道启动时会加载18个过滤器,并且已经知道了请求会匹配到DefaultSecurityFilterChain并依次通过这18个过滤器。CsrfFilter我们从OAuth2AuthorizationRequestRedirectFilter开始看,OAuth2开头这非常明显。......
Spring源代码解析():Spring_Acegi框架授权实现.doc
08-04
在本文中,我们将深入探讨Spring_Acegi框架如何实现授权机制,特别是通过`FilterSecurityInterceptor`来处理HTTP请求的安全检查。 `FilterSecurityInterceptor`是Spring Security的核心组件之一,它负责拦截HTTP...
Spring源代码解析9:SpringAcegi框架鉴权的实现.pdf
10-05
Spring源代码解析9中,我们关注的是如何实现这个过程,特别是涉及用户账户状态检查和密码验证的部分。这部分代码展示了Spring Acegi如何与数据库交互来获取并验证用户信息。 首先,`Assert.notNull(user, ...
Spring源代码解析(九):Spring_Acegi框架鉴权的实现.doc
08-04
Spring框架中,Acegi(现在已经演变为Spring Security)是一个强大的安全管理组件,它提供了认证、授权等核心安全功能。在Spring_Acegi框架鉴权的实现中,我们主要关注的是如何处理用户的登录验证以及在验证成功或...
spring源代码解析.pdf
10-04
这篇源代码解析主要关注Spring Acegi中AuthenticationProcessingFilter的实现,它是Web页面验证的核心部分。AuthenticationProcessingFilter是Servlet Filter接口的实现,主要用于在请求到达目标资源之前进行身份...
Spring源代码解析.rar
04-16
Spring源代码解析1:IOC容器.doc Spring源代码解析2:IoC容器在Web容器中的启动.doc Spring源代码解析3:Spring JDBC .doc Spring源代码解析4:Spring MVC .doc ...Spring源代码解析10:Spring Acegi框架授权实现.doc
SpringSecurity学习笔记(三)认证授权底层原理
怕什么真理无穷,进一寸有一寸的欢喜。即使开了一辆老掉牙的破车,只要在前行就好,偶尔吹点小风,这就是幸
10-10 404
也就是说这个对象会获取到每个接口需要哪些权限,也就是说如果我们自己实现了这样一个接口,就可以自定义接口的访问权限,如果这个自定义的是从数据库里面查询出来的就不用每次都像下面这样在代码里面写了。在之前第一篇学习ss整体架构的时候有这么一个图。在一个请求过来的时候会首先经过。
聊聊spring security的permitAll以及webIgnore
weixin_34023863的博客
11-25 1308
序 本文主要聊一下spring security的permitAll以及webIgnore的区别 permitAll配置实例 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override pub...
Spring Security内置过滤器详解_springsecurity过滤器,2024年最新大数据开发开发入门教程
2401_84166896的博客
04-17 1146
/设置SecurityContextHolderStrategy context。//当前请求是否是logoutSuccessUrl指定的地址。//是否是登录请求,是否是重定向的错误请求,是否是登出地址。//该请求已经运行过该过滤,跳过,执行下一个过滤器。//当前请求是否是failureUrl指定的地址。//生成一个默认的登录页。//否则执行下一个过滤器。//地址是/logout。//获取当前的权限配置。//生成一个登出页面。
spring security url动态授权
weixin_43931625的博客
09-18 499
spring security url动态授权
Spring Security(05)授权配置授权流程分析
愤怒的菜鸟博客
03-09 4850
认证控制 springsecurity 的认证过程的处理是通过过滤器进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤器 拿到请求信息,交给访问决策管理器(AccessDecisionManager) 判断是否有权限, 而 访问决策管理器(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票器), 对于一个请求 所有的投票器可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果
Spring Security3实践总结
一条宝鱼的专栏
06-03 1361
在线项目最近要对管理系统进行细粒度的权限控制,细化到URL级别。Spring Security3在这个时候引入到了系统总来。Spring Security3的学习曲线并不是非常的平坦。现在将使用场景和使用方法总结如下。 一、需求        做项目肯定要从项目背景和需求谈起。这个在线项目的背景和需求如下: 该项目为一个对外网开发的管理系统,系统功能丰富,需要将系统的功能进行切分
史上最简单的Spring Security教程(六):FilterSecurityInterceptor详解
银河架构师的博客
07-29 9161
​FilterSecurityInterceptor作为Spring Security Filter Chain的最后一个Filter,承担着非常重要的作用。如获取当前 request 对应的权限配置,调用访问控制器进行鉴权操作等,都是核心功能。 先简单看一下FilterSecurityInterceptor类的主要功用。 获取当前 request 对应的权限配置,首先是调用基类的beforeInvocation方法。 public void invoke(FilterInv...
Spring源代码深度解析:IOC到AOP
"这篇资源是一份关于Spring框架源代码解析的PPT文档,由作者jiwenke创作并分享在JavaEye社区。文档涵盖了Spring的核心组件,包括IOC容器、JDBC、AOP、ACLGE和JMS等模块的深入解析。作者通过一系列的文章,逐个剖析了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值