SpringBoot中SpringSecurity Method Security创建原理分析

最新推荐文章于 2023-02-28 19:41:11 发布
最新推荐文章于 2023-02-28 19:41:11 发布
阅读量564 收藏
点赞数
分类专栏: spring-security 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_25719689/article/details/105423031
版权

Method Security

如何使用

@EnableGlobalMethodSecurity(jsr250Enabled = true)
@Configuration
public class EunomiaSecurityConfig extends GlobalMethodSecurityConfiguration {
}

注意这里需要添加注解 @EnableGlobalMethodSecurity

如果需要拓展 GlobalMethodSecurityConfiguration,则继承该类。否则,使用默认配置。

原理

注解 @EnableGlobalMethodSecurity  导入了 GlobalMethodSecuritySelector.class,这个类特别关键。

@Import({ GlobalMethodSecuritySelector.class })
@EnableGlobalMethodSecurity
@Configuration
public @interface EnableGlobalMethodSecurity {
GlobalMethodSecuritySelector
final class GlobalMethodSecuritySelector implements ImportSelector {

	public final String[] selectImports(AnnotationMetadata importingClassMetadata) {
		Class<EnableGlobalMethodSecurity> annoType = EnableGlobalMethodSecurity.class;
		Map<String, Object> annotationAttributes = importingClassMetadata
				.getAnnotationAttributes(annoType.getName(), false);
		AnnotationAttributes attributes = AnnotationAttributes
				.fromMap(annotationAttributes);
	
		Class<?> importingClass = ClassUtils
				.resolveClassName(importingClassMetadata.getClassName(),
						ClassUtils.getDefaultClassLoader());
		boolean skipMethodSecurityConfiguration = GlobalMethodSecurityConfiguration.class
				.isAssignableFrom(importingClass);

		AdviceMode mode = attributes.getEnum("mode");
		boolean isProxy = AdviceMode.PROXY == mode;
		String autoProxyClassName = isProxy ? AutoProxyRegistrar.class
				.getName() : GlobalMethodSecurityAspectJAutoProxyRegistrar.class
				.getName();

		boolean jsr250Enabled = attributes.getBoolean("jsr250Enabled");

		List<String> classNames = new ArrayList<String>(4);
		if(isProxy) {
			classNames.add(MethodSecurityMetadataSourceAdvisorRegistrar.class.getName());
		}

		classNames.add(autoProxyClassName);

		if (!skipMethodSecurityConfiguration) {
			classNames.add(GlobalMethodSecurityConfiguration.class.getName());
		}

		if (jsr250Enabled) {
			classNames.add(Jsr250MetadataSourceConfiguration.class.getName());
		}

		return classNames.toArray(new String[0]);
	}
}

这个类会根据用户的应用配置类和它添加的 @EnableGlobalMethodSecurity 注解的属性值,返回需要import的类名。

这里我们以之前的配置类:EunomiaSecurityConfig位例,此时该方法会添加的类有:

  1. AutoProxyRegistrar
  2. MethodSecurityMetadataSourceAdvisorRegistrar
  3. EunomiaSecurityConfig
  4. Jsr250MetadataSourceConfiguration
非常关键一个类

MethodSecurityMetadataSourceAdvisorRegistrar

class MethodSecurityMetadataSourceAdvisorRegistrar implements
		ImportBeanDefinitionRegistrar {

	/**
	 * Register, escalate, and configure the AspectJ auto proxy creator based on the value
	 * of the @{@link EnableGlobalMethodSecurity#proxyTargetClass()} attribute on the
	 * importing {@code @Configuration} class.
	 */
	public void registerBeanDefinitions(AnnotationMetadata importingClassMetadata,
			BeanDefinitionRegistry registry) {

		BeanDefinitionBuilder advisor = BeanDefinitionBuilder
				.rootBeanDefinition(MethodSecurityMetadataSourceAdvisor.class);
		advisor.setRole(BeanDefinition.ROLE_INFRASTRUCTURE);
		advisor.addConstructorArgValue("methodSecurityInterceptor");
		advisor.addConstructorArgReference("methodSecurityMetadataSource");
		advisor.addConstructorArgValue("methodSecurityMetadataSource");

		MultiValueMap<String,Object> attributes = importingClassMetadata.getAllAnnotationAttributes(EnableGlobalMethodSecurity.class.getName());
		Integer order = (Integer) attributes.getFirst("order");
		if(order != null) {
			advisor.addPropertyValue("order", order);
		}

		registry.registerBeanDefinition("metaDataSourceAdvisor",
				advisor.getBeanDefinition());
	}
}

这里会手动注册一个Advisor: MethodSecurityMetadataSourceAdvisor

MethodSecurityMetadataSourceAdvisor的 beanName指向的就是GlobalMethodSecurityConfiguration#methodSecurityInterceptor

即最后使用了methodSecurityInterceptor这个bean。

疑问

到这里你可能会想问那ImportSelector#selectImports什么时候被调用?

具体请参考 ImportSelector

啊speed
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity全局方法安全性:预授权和后授权
冲出仁川,走出马德里,故事还会再继续
03-06 4693
SpringSecurity全局方法安全性:预授权和后授权1、非Web应用程序能否使用Spring Security实现授权?2、启用全局方法安全性2.1 理解调用授权2.1.1 使用预授权保护对方法的访问2.1.2 使用后授权保护对方法的调用2.2 在项目启用全局方法安全性3、对权限和角色应用预授权3.1 UserDetailsService和Password的配置类3.2 服务类在方法上定义预授权规则3.3 实现端点并使用服务的控制器类3.4 测试3.5 定义测试端点的控制器类3.6 NameServ
spring security method security
weixin_34008805的博客
02-22 100
spring security method security 参考 Spring Security 官方文档 http://www.concretepage.com/spring/spring-security/preauthorize-postauthorize-in-spring-security 方法调用安全 对应的注解@Ena...
SpringsecurityMethodSecurityInterceptor
weixin_33716154的博客
09-06 1410
2019独角兽企业重金招聘Python工程师标准>>> ...
spring securitymethod的权限控制
Harold
07-05 159
SPRING SECURITY,当用户登陆成功后,会将该用户的权限放到Authentication对象,而资源的控制权限定义是通过org.springframework.security.intercept.method.aopalliance.MethodSecurityInterceptor来进行的,该类通过设置objectDefinitionSource将资源和资源需要的权限获取到,通...
Spring Security调研记录【三】--实现Method Security
lld2002的专栏
05-26 852
Spring Security调研记录【三】--实现Method Security
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
在之前的文章,我们介绍了普通的帐号密码登录的方式:SpringBoot + Spring Security 基本使用及个性化登录配置。但是现在还有一种常见的方式,就是直接通过手机短信验证码登录,这里就需要自己来做一些额外的工作...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合到SpringBoot项目,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或...
SpringBoot集成Spring Security实现权限控制【完整源码+数据库】
02-16
SpringBoot集成Spring Security是现代Java应用常见的安全框架组合,它们为开发者提供了强大的权限管理和访问控制功能。Spring Security是一个全面的、高度可配置的安全框架,它涵盖了认证、授权以及会话管理等多个...
基于java config的springSecurity(四)--启用全局方法安全
01-16
实现了认证,一般都满足不了应用的需求.使用@EnableGlobalMethodSecurity来实现授权,实现用户对某个操作是否有权限的控制.详细请参考:http://blog.csdn.net/xiejx618/article/details/42739707
Spring Security(二十二):6.4 Method Security
weixin_30878501的博客
12-18 103
From version 2.0 onwards Spring Security has improved support substantially for adding security to your service layer methods. It provides support for JSR-250 annotation security as well as the framew...
spring security2method进行拦截的配置
symgdwyh的专栏
07-28 4176
1、配置web.xml文件: contextConfigLocation /WEB-INF/spring-security.xml springSecurityFilterChain org.springframework.web.filter.DelegatingFilterProxy springSec
springsecurity开启方法级的授权源码分析
python15397的博客
02-28 1460
至于 @PreAuthorize 注解的拦截器是如何生效的那就要靠 @EnableMethodSecurity 注解,因为该注解导入了 @Import({MethodSecuritySelector.class}) 并接入到了IOC容器,因此只需要看 MethodSecuritySelector 类具体是怎么处理方法级的认证的即可。使用了方法权限注解开启了方法级的权限鉴定之后,就可以使用如下注解直接在控制器上使用方法级的权限鉴定了。处理器,其的这部分源码解释可以看出如何使用表达式的过程。
Spring Security方法级别授权使用介绍
weixin_30835923的博客
05-29 359
1.简介 简而言之,Spring Security支持方法级别的授权语义。 通常,我们可以通过限制哪些角色能够执行特定方法来保护我们的服务层 - 并使用专用的方法级安全测试支持对其进行测试。 在本文,我们将首先回顾一些安全注释的使用。然后,我们将专注于使用不同的策略测试我们的方法安全性。 2.启用方法级别的安全授权配置 首先,要使用Spring Method Security,我们需要添加spr...
springsecurity_Spring Security安全管理
weixin_39770821的博客
11-24 362
目前主流的安全管理框架主要有Spring Security和Shiro。Shiro是一个轻量级框架,配置较为简单。而Spring Security则较为复杂,但功能相对较多。Spring Boot Spring Security做了一系列自动化配置,使得在Spring Boot使用Spring Security相当方便。Spring Security当引入Spring Security依赖后...
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码
lkr_lkr的博客
07-09 1282
SpringBoot 分析 @EnableGlobalMethodSecurity注解 GlobalMethodSecurityConfiguration源码GlobalMethodSecurityConfigurationMethodSecurityInterceptorMethodSecurityExpressionHandlerDefaultMethodSecurityExpressionHandler总结 GlobalMethodSecurityConfiguration 实例字段 private
spring aop(十)--spring security启用全局方法使用aop的分析
xiejx618的专栏
03-02 5859
使用以下配置就可启用spring security全局方法: @Configuration @EnableGlobalMethodSecurity(prePostEnabled=true) public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration { } 那么它大致是如何起作用的? 先从Ena
springbootspringsecurity配置登陆,注销
最新发布
04-05
springboot配置springsecurity的登陆和注销功能,需要进行如下步骤: 1. 添加springsecurity依赖 在pom.xml文件添加springsecurity依赖: ``` <groupId>org.springframework.boot <artifactId>spring-...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值