AccessDecisionManager完成授权的功能。观察AccessDecisionManager接口的授权方法
void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
throws AccessDeniedException, InsufficientAuthenticationException;
对一次访问授权,需要传入三个信息。
(1)认证过的票据Authentication,确定了谁正在访问资源。
(2)被访问的资源object。
(3)访问资源要求的权限配置ConfigAttributeDefinition。
从票据中可以获取认证用户所拥有的权限,再对比访问资源要求的权限,即可断定当前认证用户是否能够访问该资源。
Spring Security引入了投票器的概念,真正的授权功能是通过一组AccessDecisionVoter来实现的。
AccessDecisionManager维护着一个AccessDecisionVoter列表参与授权的投票。根据处理投票的策略不同
Spring Security中AccessDecisionManager有3个不同的实现。
(1)UnanimousBased(全票通过):所有投票器都通过才允许访问资源。
(2)ConsensusBased(少数服从多数):超过一半的投票器通过才允许访问资源。
(3)AffirmativeBased(一票通过):只要有一个投票器投票通过,就允许访问资源。
AccessDecisionVoter的vote方法,实现了投票的逻辑。vote方法需要的参数AccessDecisionManager的decide方法
完全相同。实际上AccessDecisionManager的功能就是委托给AccessDecisionVoter实现的。Spring Security中有很多AccessDecisionVoter的实现,最简单的有RoleVoter。RoleVoter通过将Authentication里面获取的权限信息,与从
ConfigAttributeDefinition配置的访问资源需要的权限对比,来投票通过,或拒绝,或弃权。