Spring 授权 (Authorization) 流程要点

最新推荐文章于 2024-05-21 18:10:02 发布
最新推荐文章于 2024-05-21 18:10:02 发布
阅读量456 收藏 1
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51945027/article/details/119741042
版权
  1. 授权前提
    所有的认证令牌对象Authentication保存了一组GrantedAuthority对象,表示授予访问者(当事人principal)的权限。
  2. GrantedAuthority对象是被AuthenticationManager在认证访问者期间插入到Authentication中的。这些GrantedAuthority对象会被AccessDecisionManager在对该访问者对于某个安全对象做出授权决定时使用;
  3. GrantedAuthority是一个接口,仅有一个方法定义String getAuthority(),用于获取所受权限的字符串形式表示;
  4. Spring Security内置了一个GrantedAuthority具体实现SimpleGrantedAuthority,该实现支持在将权限字符串转成GrantedAuthority类型对象;
  5. Spring Security内置的AuthenticationProvider都使用SimpleGrantedAuthority往Authentication填充权限信息;
  6. 授权过程 (Authorization)
    有授权控制的安全对象(secure object)的分类

方法调用(method invocation)
web请求(web request)
授权动作调用者

拦截器 AbstractSecurityInterceptor
授权控制阶段

调用前授权处理 (pre-invocation handling) : AccessDecisionManager

AccessDecisionManager被AbstractSecurityInterceptor调用,负责决定是否授权访问者继续访问目标安全对象;

AccessDecisionManager是一个接口,定义了三个方法

void decide(Authentication authentication, Object secureObject,
Collection attrs) throws AccessDeniedException;
1
2
该方法是投票过程, 有三个参数 :

Authentication authentication代表访问者当事人,是访问者的认证令牌,包含了访问者的权限
Object secureObject表示目标安全对象,比如是一个方法调用MethodInvocation
Collection attrs 表示访问目标安全对象所需要的权限
boolean supports(ConfigAttribute attribute);
1
检测ConfigAttribute attribute是否是当前AccessDecisionManager支持的ConfigAttribute类型。

boolean supports(Class clazz);
1
检测Class clazz是否是当前AccessDecisionManager支持的secureObject。

开发者可以提供自己的AccessDecisionManager实现

Spring Security内置的AccessDecisionManager实现是基于投票机制的(voting)

AbstractAccessDecisionManager 是Spring Security内置的AccessDecisionManager实现的抽象基类
AbstractAccessDecisionManager使用一组AccessDecisionVoter投票者投票表决进行授权
AccessDecisionVoter是一个接口,建模投票者这一概念
每个AccessDecisionVoter对每次投票可以给出如下三个结论中的一个
否决 : ACCESS_DENIED
弃权 : ACCESS_ABSTAIN
赞同 : ACCESS_GRANTED
AbstractAccessDecisionManager有三个内置实现
AffirmativeBased – 一票通过即可放行
ConsensusBased – 多数投票通过可放行
UnanimousBased – 全票通过才放行
调用后授权处理 (after-incocation handling) : AfterInvocationManager

通过AfterInvocationManager可以对受保护的安全对象的返回对象做修改
Spring Security提供了AfterInvocationManager的一个内置实现AfterInvocationProviderManager
AfterInvocationProviderManager维护一组AfterInvocationProvider完成指定的任务
对受保护的安全对象的返回对象逐一应用这些AfterInvocationProvider

「已注销」
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
authconfig‐tui_authconfig-tui-用于配置系统认证资源的接口
weixin_39744554的博客
12-19 463
用法:authconfig-tui[选项]Options:-h, --help 显示本帮助并退出--enableshadow, --useshadow默认启用 shadow 密码--disableshadow 恢复在上一次配置更改前备份的配置文件--enablemd5, --usemd5默认启用 MD5 密码--disablemd5 ...
Spring Security之授权
qq_32734365的博客
08-04 3310
授权 授权架构 授权 调用前置处理 AccessDecisionManager 基于投票的AccessDecisionManager实现 RoleVoter AuthenticatedVoter 自定义Voter 调用后处理 分层角色 安全对象实现 AOP Alliance (MethodInvocation) 安全拦截器 显式MethodSecurityInterceptor配置...
Spring Authorization Server的使用
最新发布
zzy7075的专栏
05-21 811
既然涉及到签名,就涉及到签名算法,对称加密还是非对称加密,那么就需要加密的 密钥或者公私钥对。不存在签名的JWT是不安全的,存在签名的JWT是不可窜改的。,目前已经到了 0.1.2 的版本,不过该项目还是一个实验性的项目,不可在生产环境中使用,此处来使用项目搭建一个简单的授权服务器。没有用户的参与,一般可以用于内部系统之间的访问,或者系统间不需要用户的参与。的创建,这个张三是授权服务器的用户,此处即QQ服务器的用户。此模式下,没有用户的参与,只有客户端和授权服务器之间的参与。
spring security初探之授权原理源码解析
cjのice_bear
03-29 1734
说说授权 授权的定义是:判断某用是否拥有访问某资源的权限。我们这里说的资源被定义为URL(当然也可以是方法,但这不在我们讨论的范围内),权限我们这里定义为角色,那么对授权的定义我们就化成,判断用户是否拥有访问某条URL的角色。一个用户可以对应多个角色,一个角色可以对应多个资源,这样我们的假设就出来了。 对授权过程的假设 我们可以知道,在认证过程中,用户信息生成的Authentication
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
springsecurity学习笔记
12-13
2. **授权Authorization)**:授权决定了已认证的用户可以访问哪些资源或执行哪些操作。Spring Security 支持角色基础的授权、表达式基础的访问控制(ACE)以及权限对象的访问控制。 3. **Filter Security ...
spring security 源文件
01-28
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。它是一个高度可配置的库,适用于各种类型的Web应用程序,从简单的REST服务到复杂的单页应用。本篇文章将深入探讨Spring Security的...
毕业设计使用springboot+mybatis+shiro+activity的企业办公Oa系统.zip
09-03
Shiro是Apache开源组织提供的一套安全框架,主要负责用户认证(Authentication)、授权Authorization)和会话管理(Session Management)。在企业Oa系统中,Shiro可以用来实现用户登录验证、权限控制以及防止重复...
毕业设计 Java web项目源码整合开发ssm 大学生求职就业网
03-15
项目可能采用了Spring Security或者Apache Shiro等安全框架,实现用户认证(Authentication)和授权Authorization)。这些功能包括: - **登录注册**:用户通过邮箱或手机号进行注册和登录验证。 - **权限控制**:...
expensereimbursement:费用报销系统将管理在公司时间报销员工报销费用的过程
03-28
Spring Security可以帮助实现身份验证(Authentication)和授权Authorization),确保只有经过验证的用户才能访问特定的功能。 5. **异常处理和日志记录**:Java的异常处理机制可以捕获并处理程序运行过程中的...
Spring Security(十六):授权(Authorization)
人不风流枉少年
07-09 4500
一:简介 授权 就是控制url能不能访问。一个请求过来会先经过FilterSecurityInterceptor过滤器拦截,然后调用访问决定管理器AccessDecisionManager,访问决定管理器是通过访问决定投票器AccessDecisionVoter来投票的,如果投票器投通过那么这个url就可以访问,如果投票器投拒绝那么这个url就不能被访问,会抛出一个访问被拒绝的异常。 访问决定投票...
(一)学习spring-cloud:2021之spring-authorization-server
qq_37182370的博客
05-27 1万+
1. 前言 1.1为什么使用spring-authorization-server? 真实原因:原先是因为个人原因,需要研究新版鉴权服务,看到了spring-authorization-server,使用过程中,想着能不能整合新版本cloud,因此此处先以springboot搭建spring-authorization-server,后续再替换为springcloud。 官方原因:原先使用Spring Security OAuth,而该项目已经逐渐被淘汰,虽然网上.............
SpringSecurity OAuth2之授权码获取流程分析
clyu的博客
01-10 4519
前言 本文主要从AuthorizationEndpoint的初始化和其authorize方法等方面进行授权码获取流程分析 一、AuthorizationEndpoint的初始化 AuthorizationEndpoint是授权码处理端点 AuthorizationEndpoint的初始化方式在注解@EnableAuthorizationServer引入的配置类AuthorizationServerEndpointsConfiguration中。 @Configuration @Import(TokenK
Spring Authorization Server 授权服务器
xxxzzzqqq_的博客
03-07 2589
Spring Authorization Server 遵循Oauth2.1和OpenID Connect 1.0,它建立在Spring Security之上。 ​
Spring Authorization Server入门 (四) 自定义设备码授权
云逸的博客
06-05 2667
设备码流程一般使用在不便输入的设备上,设备提供一个链接给用户验证,用户在其它设备的浏览器中认证;其它的三方服务需要接入时就按各自特点使用不同的授权方式。
spring authorization server系列教程】(一)入门系列,spring authorization server简介。快速构建一个授权服务器(基于最新版本0.3.0)
热门推荐
爱音乐的程序猿的博客
06-07 1万+
spring authorization server系列教程】(一)入门系列,快速构建一个授权服务器spring authorization server是spring团队最新的认证授权服务器,之前的oauth2后面会逐步弃用。不过到现在发文的时候,我看到官网已经把之前oauth2仓库废弃了。 现在spring authorization server已经到生产就绪阶段了,不过目前项目还没有完全到生产可用阶段。...
spring security 自定义AccessDecisionVoter类
neweastsun的专栏
06-09 7907
spring security 自定义AccessDecisionVoter类 针对spring web应用或rest api,spring security提供很多方法实现安全控制,但有时会遇到一些具体场景默认提供功能难以满足。本文我们自定义AccessDecisionVoter类展示如何抽象web应用程序的授权逻辑,并将其与应用程序的业务逻辑分离开来。 应用场景 为了演示Access...
Spring Security学习(三)授权管理器
德玛西亚
03-29 992
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
spring-authorization-server 的认证流程
03-02
spring-authorization-server的认证流程包括以下步骤: ...以上是spring-authorization-server的基本认证流程,其中包括了用户的登录、授权决策、授权码或访问令牌的发放以及访问令牌的获取等关键步骤。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值