Spring Security授权架构介绍

最新推荐文章于 2024-02-14 16:08:52 发布
最新推荐文章于 2024-02-14 16:08:52 发布
阅读量219 收藏
点赞数
分类专栏: Spring Security框架学习 文章标签: spring 架构 java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifetime_gear/article/details/134126559
版权

授权架构重点在于从 Authentication 中获得该认证所具有的权限 GrantedAuthority,以及对请求或路径设置访问所需权限。

GrantedAuthority

在之前的Spring Security:认证架构中,我们已经介绍了在 Authentication 中存储 GrantedAuthority 的方式,Authentication 拥有一个 GrantedAuthority 的集合,这代表了这个认证所具有的权限。

AccessDecisionManager(一个用来校验认证 Authentication 是否具有所需权限的接口)将从 Authentication 中获得 GrantedAuthority ,并调用 GrantedAuthority 接口唯一的一个方法 String getAuthority() 来获得所拥有权限的一个精确的 String 表示。

默认情况下,基于角色的授权规则以 ROLE_ 作为前缀。这意味着,如果有一个授权规则要求 security context 的角色是 "USER",Spring Security 将默认寻找调用 getAuthority() 返回 "ROLE_USER" 的 GrantedAuthority。

配置GrantedAuthorityDefaults Bean可以更改前缀:

@Bean
static GrantedAuthorityDefaults grantedAuthorityDefaults() {
    return new GrantedAuthorityDefaults("MYPREFIX_");
}

AuthorizationManager

AuthorizationManager 是做出最终的访问控制决定的接口,被各类授权组件所调用,包含两个方法:

AuthorizationDecision check(Supplier<Authentication> authentication, Object secureObject);

default AuthorizationDecision verify(Supplier<Authentication> authentication, Object secureObject)
        throws AccessDeniedException {
    // ...
}

AuthorizationManager 的 check 方法被传递它所需要的所有相关信息,以便做出授权决定。

secureObject 中包含需要的任何客户参数,然后 AuthorizationManager 中进行验证。如果通过,返回“positive”的AuthorizationDecision;如果不通过,返回“negative”的AuthorizationDecision;如果不作出决定,则返回空的 AuthorizationDecision。

verify 方法调用 check,然后在出现 "negative" 的 AuthorizationDecision 决定时抛出一个 AccessDeniedException。

Spring Security 提供了一个代理类的 AuthorizationManager(RequestMatcherDelegatingAuthorizationManager),可以与别的 AuthorizationManager 协作。

常用的实现:

  • AuthorityAuthorizationManager:在当前 Authentication 中寻找一组给定的授权。如果包含任一配置的授权,返回 positive,否则返回 negative。
  • AuthenticatedAuthorizationManager:用来区分匿名、完全认证和记住我认证的用户。许多网站在Remember-me认证下允许某些有限的访问,但要求用户通过登录来确认他们的身份以获得完整的访问。
  • 其他请自行了解。

基本流程

(仅为基于HTTP请求授权的基本流程)

注意:默认情况下,AuthorizationFilter 是 Spring Security filter chain 中的最后一个,这说明 Spring Security 的 authentication filter、漏洞保护 和其他 filter 集成都不需要授权。如果你在 AuthorizationFilter 之前添加自己的 filter,它们也将不需要授权;否则,它们将需要授权。(Spring MVC的 DispatcherServlet 位于 AuthorizationFilter 之后,所以都是需要授权的。)

  1. 首先,AuthorizationFilter 构造一个 Supplier,从 SecurityContextHolder 中检索一个 Authentication。
  2. 将 Supplier 和 HttpServletRequest 传递给 AuthorizationManager。AuthorizationManager 将请求与 authorizeHttpRequests 中的模式相匹配,并运行相应的规则。
  3. 如果没有权限,会发布一个 AuthorizationDeniedEvent,并抛出一个 AccessDeniedException。在这种情况下,ExceptionTranslationFilter 会处理 AccessDeniedException。
  4. 如果拥有权限,会发布一个 AuthorizationGrantedEvent,进入后续的过滤器链。
寿命齿轮
关注
专栏目录
Spring Security-GrantedAuthority已授予的权限、权限检查
西京刀客
09-18 1679
Spring Security 【详解】GrantedAuthority(已授予的权限) 参考URL: https://www.cnblogs.com/longfurcat/p/9417422.html GrantedAuthority接口 我们知道UserDeitails接口里面有一个getAuthorities()方法。这个方法将返回此用户的所拥有的权限。这个集合将用于用户的访问控制,也就是Authorization。 所谓权限,就是一个字符串。一般不会重复。 所谓权限检查,就是查看用户权限列表中是否含
SpringSecurity.pdf
05-24
Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全功能,能够处理身份验证、请求过滤以及访问控制等多种安全相关的任务。 认证和授权是安全框架的核心概念。...
Spring Security API: GrantedAuthority
dengdeying的博客
12-27 545
GrantedAuthority Declared package org.springframework.security.core; public interface GrantedAuthority extends Serializable Class Jdoc 表示授权给用户的权限。 GrantedAuthority 必须是字符串,或者由AccessDecisionManager专门支持...
【详解】Spring SecurityGrantedAuthority(已授予的权限)
蔡小波的博客
06-10 1万+
转自:https://www.cnblogs.com/longfurcat/p/9417422.html 感谢大佬 前言   这篇是很久之前学习Spring Security整理的博客,发现浏览量都1000多了,一个赞都没有,那说明写得确实不怎么样,哈哈。应该很多初学者对这个接口存在疑问,特别是如果学习这个框架之前还了解过Shiro,可能会因为这两个框架角色、权限的表示方式,产生困惑。现在重新整理一下。 GrantedAuthority接口 我们知道UserDeitails接口里面有一...
Spring Security授权GrantedAuthority介绍
kaven
01-06 7364
在之前的博客中,已经介绍Spring Security的用户UserDetails、用户服务UserDetailsService和密码编码器PasswordEncoder,它们都是用于验证用户的身份,而GrantedAuthority则表示用户验证通过后被授予的权限(可能授予多种权限),本篇博客介绍GrantedAuthority接口及其实现类。 Spring Security:用户UserDetails源码与Debug分析 Spring Security:用户服务UserDetailsService源
Spring Security自定义GrantedAuthority前缀
小汤圆
08-18 604
如果我们正使用Spring Security提供默认的基于方法的权限认证注解如下: @PreAuthorize(“hasAnyRole(‘ADMIN’, ‘USER’)”) public void moveTo(String id, String parentId) { // … } 而在我们自定义实现的GrantedAuthority,或是SS提供的SimpleGrantedAuthority, public interface GrantedAuthority extends Serializable
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
Spring Security 则是 Java 开发中广泛使用的安全框架,用于实现认证和授权。当我们将这两者结合时,我们可以创建一个强大的统一登录认证鉴权系统。 首先,让我们深入了解Spring Cloud Gateway。这是一个基于...
Spring Security in Action
11-22
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Security OAuth2 自定义GrantedAuthority授权接口
OceanSky的专栏
07-30 9893
使用security oatuh2的时候需要返回给前端用户的角色或者权限,框架提供了GrantedAuthority接口,有一个默认的实现SimpleGrantedAuthority,但是它只能返回简单 的字符串,如果我们想灵活的使用很难控制;所以我这边通过实现GrantedAuthority接口,自定义实现权限控制; 1.自定义授权接口如下 package com.yaomy.security....
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 3800
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringSecurity学习(七)授权
Huathy的博客
03-15 2181
SpringSecurity:认证与授权,基于URL的权限管理、基于方法的权限管理。权限表达式、授权原理分析。授权实战——权限模型
springsecurity权限验证的时候 出现了 SimpleGrantedAuthority无法序列化报空指针的问题
weixin_45699541的博客
07-30 1532
在做springsecurity权限验证的时候出现了SimpleGrantedAuthority无法序列化报空指针的问题。但从redis中取出authorityList的时候无法取出里面的数据。我的工具是Stringredistemplate。
如何利用SpringSecurity进行认证与授权
最新发布
qq_63218110的博客
02-14 5286
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
springboot3整合SpringSecurity实现登录校验与权限认证(万字超详细讲解)
热门推荐
2301_78646673的博客
12-11 1万+
用户提交登录请求Spring Security 将请求交给 UsernamePasswordAuthenticationFilter 过滤器处理。UsernamePasswordAuthenticationFilter 获取请求中的用户名和密码,并生成一个 AuthenticationToken 对象,将其交给 AuthenticationManager 进行认证。
SpringBoot SpringSecurity知识点
m178643的博客
11-16 309
明确三个接口GrantedAuthority(角色权限) UserDetails (用户信息) UserDetailsService(获取用户信息和用户权限) 角色表DO实现GrantedAuthority接口: @Data @AllArgsConstructor @NoArgsConstructor public class RoleInfo implements GrantedAuthorit...
SpringSecurity生成权限流程源码分析
HHoao的博客
05-03 616
SpringSecurity生成权限流程源码分析 自定义match路径, @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/lib/*", "/js/*").permitAll() //配置POST访问/users需要有ADMIN权限 .mvcMatc
Spring Security深度指南:架构授权详解
Spring Security 是一款强大的开源框架,专为Java应用程序提供全面的身份验证、授权和会话管理解决方案。该框架由AcegiSecurity项目发展而来,随着AcegiSecurity 1.0.5版本的发布,它已经成为Spring用户的重要参考...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值