Spring Security授权架构介绍

最新推荐文章于 2024-05-03 13:13:36 发布
最新推荐文章于 2024-05-03 13:13:36 发布
阅读量168 收藏
点赞数
分类专栏: Spring Security框架学习 文章标签: spring 架构 java Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lifetime_gear/article/details/134126559
版权

授权架构重点在于从 Authentication 中获得该认证所具有的权限 GrantedAuthority,以及对请求或路径设置访问所需权限。

GrantedAuthority

在之前的Spring Security:认证架构中,我们已经介绍了在 Authentication 中存储 GrantedAuthority 的方式,Authentication 拥有一个 GrantedAuthority 的集合,这代表了这个认证所具有的权限。

AccessDecisionManager(一个用来校验认证 Authentication 是否具有所需权限的接口)将从 Authentication 中获得 GrantedAuthority ,并调用 GrantedAuthority 接口唯一的一个方法 String getAuthority() 来获得所拥有权限的一个精确的 String 表示。

默认情况下,基于角色的授权规则以 ROLE_ 作为前缀。这意味着,如果有一个授权规则要求 security context 的角色是 "USER",Spring Security 将默认寻找调用 getAuthority() 返回 "ROLE_USER" 的 GrantedAuthority。

配置GrantedAuthorityDefaults Bean可以更改前缀:

@Bean
static GrantedAuthorityDefaults grantedAuthorityDefaults() {
    return new GrantedAuthorityDefaults("MYPREFIX_");
}

AuthorizationManager

AuthorizationManager 是做出最终的访问控制决定的接口,被各类授权组件所调用,包含两个方法:

AuthorizationDecision check(Supplier<Authentication> authentication, Object secureObject);

default AuthorizationDecision verify(Supplier<Authentication> authentication, Object secureObject)
        throws AccessDeniedException {
    // ...
}

AuthorizationManager 的 check 方法被传递它所需要的所有相关信息,以便做出授权决定。

secureObject 中包含需要的任何客户参数,然后 AuthorizationManager 中进行验证。如果通过,返回“positive”的AuthorizationDecision;如果不通过,返回“negative”的AuthorizationDecision;如果不作出决定,则返回空的 AuthorizationDecision。

verify 方法调用 check,然后在出现 "negative" 的 AuthorizationDecision 决定时抛出一个 AccessDeniedException。

Spring Security 提供了一个代理类的 AuthorizationManager(RequestMatcherDelegatingAuthorizationManager),可以与别的 AuthorizationManager 协作。

常用的实现:

  • AuthorityAuthorizationManager:在当前 Authentication 中寻找一组给定的授权。如果包含任一配置的授权,返回 positive,否则返回 negative。
  • AuthenticatedAuthorizationManager:用来区分匿名、完全认证和记住我认证的用户。许多网站在Remember-me认证下允许某些有限的访问,但要求用户通过登录来确认他们的身份以获得完整的访问。
  • 其他请自行了解。

基本流程

(仅为基于HTTP请求授权的基本流程)

注意:默认情况下,AuthorizationFilter 是 Spring Security filter chain 中的最后一个,这说明 Spring Security 的 authentication filter、漏洞保护 和其他 filter 集成都不需要授权。如果你在 AuthorizationFilter 之前添加自己的 filter,它们也将不需要授权;否则,它们将需要授权。(Spring MVC的 DispatcherServlet 位于 AuthorizationFilter 之后,所以都是需要授权的。)

  1. 首先,AuthorizationFilter 构造一个 Supplier,从 SecurityContextHolder 中检索一个 Authentication。
  2. 将 Supplier 和 HttpServletRequest 传递给 AuthorizationManager。AuthorizationManager 将请求与 authorizeHttpRequests 中的模式相匹配,并运行相应的规则。
  3. 如果没有权限,会发布一个 AuthorizationDeniedEvent,并抛出一个 AccessDeniedException。在这种情况下,ExceptionTranslationFilter 会处理 AccessDeniedException。
  4. 如果拥有权限,会发布一个 AuthorizationGrantedEvent,进入后续的过滤器链。
寿命齿轮
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security 6.x 系列(1)—— 初识Spring Security
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权
SpringSecurity项目
05-05
springsecurity是一个专注于为Java应用程序提供身份验证和授权的框架。与所有Spring项目一样,Spring安全性的真正威力在于它可以很容易地扩展以满足定制需求。 spring security 的核心功能主要包括: 认证 (你是...
Spring Security总体架构介绍
lifetime_gear的博客
10-21 1466
本文以抽象的方式介绍Spring Security 框架整体的运行流程,有助于读者理解 Spring Security 的运行方式并更好的使用 Spring Security 框架
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 11万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
如何利用SpringSecurity进行认证与授权
qq_63218110的博客
02-14 1938
本篇博客主要介绍SpringSecurity框架的学习,主要包含快速入门,以及认证、授权等方面的介绍,还涉及一些简单的自定义授权校验方法。
Spring Security——入门介绍
代码星辰的博客
10-05 2341
Spring Security——入门介绍
Spring Security 授权体系结构
swadian2008的博客
07-25 534
例如,在具有“Admin”和“User”角色概念的应用程序中,希望管理员(“Admin”)能够执行普通用户(“User”)的所有操作。用户可以通过实现 AuthorizationManager 接口来自定义授权控制,同时,Spring Security 附带了一个委托 AuthorizationManager,它可以与各个 AuthorizationManager 进行协作。至此,Spring Security授权架构介绍完毕,在这篇文章中,更多的是方法论,具体的使用细节将在后续文章中进行补充。
Spring Security 认证授权详解
共勉
05-03 4393
Spring SecuritySpring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。在对与安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 447
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springsecurity+oauth2+jwt实现单点登录demo
06-06
该资源是springsecurity+oauth2+jwt实现的单点登录demo,模式为授权码模式,实现自定义登录页面和自定义授权页面。应用数据存在内存中或者存在数据库中(附带数据库表结构),token存储分为数据库或者Redis。demo...
Spring Cloud Alibaba 集成 Spring Security OAuth2.0 实现认证和授权
11-14
分布式系统的认证和授权 分布式架构采用 Spring Cloud Alibaba 认证和授权采用 Spring Security OAuth2.0 实现方法级权限控制 网关采用 gateway 中间件 服务注册和发现采用 nacos
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
非常详细的分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频,从介绍到实操集成全部有详细视频。
springboot 获取maven打包时间
I do more ,you do less
04-30 497
【代码】springboot 获取maven打包时间。
springboot 自动配置源码解读
weixin_46591962的博客
05-01 811
当我们程序依赖第三方功能组件时,不需要手动将这些组件类加载到IOC容器中。例如 当程序需要用到redis时,在pom.xml文件中引入依赖,然后使用依赖注入的方式直接从IOC容器中拿到相应RedisTemplate实例。
2 Spring IoC
qq_24907431的博客
04-30 1327
该属性是 Bean 实例的唯一标识,程序通过 id 属性访问 Bean,Bean 与 Bean 间的依赖关系也是通过 id 属性关联的。:该属性是 Bean 实例的唯一标识,程序通过 id 属性访问 Bean,Bean 与 Bean 间的依赖关系也是通过 id 属性关联的。:指定该 Bean 所属的类,注意这里只能是类,不能是接口。创建一个工程名为 spring-ioc-demo 的项目,:指定该 Bean 所属的类,注意这里只能是类,不能是接口。
多级留言/评论的功能实现——SpringBoot3后端篇
最新发布
道阻且长 心态要好
05-03 1396
想要实现类似bilibili的评论区那样,在药材、方剂、文章详情页都实现多级留言/评论功能,但是不以递进的方式来展现层级关系
SpringSecurity认证和授权
11-02
Spring Security架构设计中,认证(Authentication)和授权(Authorization)是分开的,无论使用什么样的认证方式,都不会影响授权,这是两个独立的存在,这种独立带来的好处之一,就是Spring Security可以非常方便地...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值