Spring Security 授权过程

最新推荐文章于 2024-08-13 03:34:05 发布
最新推荐文章于 2024-08-13 03:34:05 发布
阅读量985 收藏
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40008535/article/details/113803979
版权

过滤器FilterSecurityInterceptor是一个请求处理过程中安全机制过滤器链中最后一个filter,它执行真正的HTTP资源安全控制,我们直接找到doFilter()方法。

FilterInvocation你可以看成带有HttpServletRequest,HttpServletResponse,FilterChain属性的类,也就是过滤器上下文对象。

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor 
    													implements Filter {
    
	public void doFilter(ServletRequest request, ServletResponse response,
                         FilterChain chain) throws IOException, ServletException {
    	
		invoke(new FilterInvocation(request, response, chain));
	}

	public void invoke(FilterInvocation filterInvocation) 
        									throws IOException, ServletException {
        //1. 同一个请求的访问会直接放行
        if (isApplied(filterInvocation) && this.observeOncePerRequest) {
			filterInvocation.getChain()
                .doFilter(filterInvocation.getRequest(), 
                          filterInvocation.getResponse());
			return;
		}
		//1. 第一次处理该请求,加个标记
		if (filterInvocation.getRequest() != null && this.observeOncePerRequest) {
			filterInvocation.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
		} 
        //2. 过滤器传递前的操作:before
		InterceptorStatusToken token = super.beforeInvocation(filterInvocation);
        
		try {
            // filter链表的传递
			filterInvocation.getChain().doFilter(filterInvocation.getRequest(), filterInvocation.getResponse());
		}
		finally {
            // 刷新上下文,也就是SecurityContext
			super.finallyInvocation(token);
		}
        //3. 过滤器传递后的操作:after
		super.afterInvocation(token, null);
	}
}

从上面源码我们可以看出当请求过来时会发生三件事:

1、请求是不是第一次来,如果是则修改标记;如果不是则放行

2、请求向下传递前处理

3、请求向下传递后处理

我们顺着上面继续看,去父类中找到beforeInvocation()方法:

public abstract class AbstractSecurityInterceptor{
	// object == filterInvocation
	protected InterceptorStatusToken beforeInvocation(Object object) {

        // 1. 获取配置类中定义的用户信息
		Collection<ConfigAttribute> attributes = 
            				this.obtainSecurityMetadataSource().getAttributes(object);
        // 2. 如果为空
		if (CollectionUtils.isEmpty(attributes)) {
			// 广播消息
            // PublicInvocationEvent就是把filterInvocation封装进去
			publishEvent(new PublicInvocationEvent(object));
			return null; 
		}
        // 2. 没有用户信息,抛出exception
		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			credentialsNotFound(this.messages.getMessage(
                "AbstractSecurityInterceptor.authenticationNotFound",
			    "An Authentication object was not found in the SecurityContext"),
                object, attributes);
		}
        // 如果Authentication.isAuthenticated()返回false
        // 或属性alwaysReauthenticate已设置为true需要再次检查
		Authentication authenticated = authenticateIfRequired();
        
		// 3. 关键授权方法
		attemptAuthorization(object, attributes, authenticated);
        
		// 4. 如果授权成功
		if (this.publishAuthorizationSuccess) {
			publishEvent(new AuthorizedEvent(object, attributes, authenticated));
		}
        
		// Attempt to run as a different user
        // 4. 尝试不同的用户运行,权限前面如果有 "RUN_AS_"则会有结果
		Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attributes);
        // 一般都为null
		if (runAs != null) {
			SecurityContext origCtx = SecurityContextHolder.getContext();
			SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
			SecurityContextHolder.getContext().setAuthentication(runAs);
			return new InterceptorStatusToken(origCtx, true, attributes, object);
		}
		// 5. 返回结果
		return new InterceptorStatusToken(SecurityContextHolder.getContext(), 
                                          false, attributes, object);
	}
}

我们可以从上面代码看出:

1、先从配置读出定义好的权限,顺便检验下这个权限集合有没有问题,是不是为null,为null就广播一下

2、看看上下文有没有Authentication,需不需要再次认证

3、授权方法,授权成功就进行广播

4、尝试以其他用户身份运行,最后返回一个InterceptorStatusToken实例

InterceptorStatusToken里面简单封装4个属性,如下:

public class InterceptorStatusToken {
	// 上下文对象,其实也就一个Authentication属性
	private SecurityContext securityContext;
	// 权限集合
	private Collection<ConfigAttribute> attr;
	// 过滤器上下文对象,也就是FilterInvocation
	private Object secureObject;
	// 是否需要刷新
	private boolean contextHolderRefreshRequired;
    ...
}

好,我们再继续往下看,我们的关键点在于attemptAuthorization()方法。

	private void attemptAuthorization(Object object, 
                                      Collection<ConfigAttribute> attributes, 
                                      Authentication authenticated) {
		try {
			this.accessDecisionManager.decide(authenticated, object, attributes);
		}
		catch (AccessDeniedException ex) {
            
			publishEvent(new AuthorizationFailureEvent(object, attributes, 
            		                                   authenticated, ex));
			throw ex;
		}
	}

再往下寻找,知道AccessDecisionManager接口, 它常用的实现类是AffirmativeBased,我们发现它的父类存在一个投票的集合List<AccessDecisionVoter<?>> decisionVoters

public class AffirmativeBased {
	public void decide(Authentication authentication, Object object, 
        				Collection<ConfigAttribute> configAttributes) 
        											throws AccessDeniedException {
		int deny = 0;
        // 遍历投票类的集合
		for (AccessDecisionVoter voter : getDecisionVoters()) {
            // 进行投票操作
			int result = voter.vote(authentication, object, configAttributes);
			switch (result) {
			case AccessDecisionVoter.ACCESS_GRANTED:
				return;
			case AccessDecisionVoter.ACCESS_DENIED:
				deny++;
				break;
			default:
				break;
			}
		}
		if (deny > 0) {
            // 这里是个重点,因为我们常常去自定义它的处理器,也就是AccessDeniedHandler
			throw new AccessDeniedException(	
                this.messages.getMessage(
                    "AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
		checkAllowIfAllAbstainDecisions();
	}
}

decide()中的功能实现比较简单,就遍历集合、调用投票类的投票方法。

我们再继续往下看,AccessDecisionVoter接口-投票类的顶层接口,它在其中定义了三种状态(如下) ,它常用的实现有RoleVoter、WebExpressionVoter、RoleHierarchyVoter,vote()方法中的object是上下文对象。

public interface AccessDecisionVoter<S> {
    // 赞成 
	int ACCESS_GRANTED = 1;
	// 弃权
	int ACCESS_ABSTAIN = 0;
	// 反对
	int ACCESS_DENIED = -1;
}

先来看下RoleVoter类:就很简单

public class RoleVoter  {
	public int vote(Authentication authentication, Object object,     
                                           Collection<ConfigAttribute> attributes) {
		if (authentication == null) {
			return ACCESS_DENIED;
		}
        // 默认为 0
		int result = ACCESS_ABSTAIN;
        
		Collection<? extends GrantedAuthority> authorities = 
                                               extractAuthorities(authentication);
        // 遍历权限集合
		for (ConfigAttribute attribute : attributes) {
            // 看权限是不是ROLE_开头的
			if (this.supports(attribute)) {
				result = ACCESS_DENIED;
                // 再遍历认证好的用户信息中,看是否匹配
				for (GrantedAuthority authority : authorities) {
					if (attribute.getAttribute().equals(authority.getAuthority())) {
						return ACCESS_GRANTED;
					}
				}
			}
		}
		return result;
	}
}

再来看下WebExpressionVoter类:这里主要是基于表达式的权限认证,它的语法都是SpEL,不知道的同学可以点击这里,它分两步走:先根据attributes来创建WebExpressionConfigAttribute对象,再根据Authentication来创建EvaluationContext对象,最后再调用方法看是否匹配。

	public int vote(Authentication authentication, FilterInvocation filterInvocation,
			Collection<ConfigAttribute> attributes) {
		// 
		WebExpressionConfigAttribute webExpressionConfigAttribute = findConfigAttribute(attributes);
        
		if (webExpressionConfigAttribute == null) {
			return ACCESS_ABSTAIN;
		}
        
		EvaluationContext ctx = webExpressionConfigAttribute.
            postProcess(this.expressionHandler.
            createEvaluationContext(authentication, filterInvocation), filterInvocation);
        
		boolean granted = ExpressionUtils.
                              evaluateAsBoolean(webExpressionConfigAttribute.
                               getAuthorizeExpression(), ctx);
		if (granted) {
			return ACCESS_GRANTED;
		}

		return ACCESS_DENIED;
	}

好了,到这里,权限认证的源码的流程也结束了,权限认证的流程其实很简单:去配置获取权限集合,拿到Authentication,将这两个东西交个投票器进行投票,就这样。

oldGarlic
关注
专栏目录
SpringSecurity 授权详解
流楚丶格念的博客
09-18 1753
在前面讲解了认证中所有常用配置,主要是对 http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对 url 进行控制,也就是我们所说的授权(访问控制)。url 匹配规则 . 权限控制方法通过上面的格式可以有很多 url 匹配规则和很多权限控制方法。这些内容进行各种组合就形成了 Spring Security 中的授权。在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面。
SpringSecurity授权
qq_40750315的博客
11-16 195
    上篇文章写了一个SpringSecurity简单的认证,这次说一下授权怎么操作。     所谓授权,其实就是在一些系统里面,特别是公司的内部管理系统,很多操作不是说每个人都能去做的,而是需要判断一下,操作人是否具有某操作的权限,如果具有该权限才能继续,否则直接告知:你不具备该权限。     那么SpringSecurity是怎么做的呢?具体操作步骤如下: 数据库的准备工作:准备好u
Spring Security 授权
liaojsgtcg的博客
05-18 257
学习Spring Security前我们需要了解RBAC角色权限控制 看看别人总结的BAC 资源只给有对应权限的人访问 1. 基于角色的授权 用户拥有一个特定或者多个角色才可以访问对应的资源。 这里主要例举三个用得比较多的方式 第一种 使用注解的方式,其中又分为两种: 第一种是**@PreAuthorize**,这个是在用户访问之前拦截 解析如果你没有与资源匹配的角色,访问不了,后台对应业务不执行,提示没有权限 第二种是**@PostAuthorize**,这个是在用户访问之后拦截 解析:如果你没有.
springsecurity的学习(四):实现授权
最新发布
weixin_45037073的博客
08-13 974
springsecurity授权,自定义授权失败的处理,跨域的处理和自定义权限校验方法的介绍
Spring Security授权
liubopro666的博客
01-06 1226
Spring Security 是一个强大而灵活的安全框架,它为 Spring 应用程序提供了全面的安全解决方案。它旨在简化安全功能的开发和集成,使开发者能够更专注于业务逻辑。通过使用 Spring Security,你可以轻松地实现认证、授权、会话管理、加密等安全功能。在这一系列博客文章中,我们将深入探讨 Spring Security授权部分。授权是指确定用户或角色是否具有访问特定资源或执行特定操作的权限。
Spring security认证授权
11-30
2. **授权过程**: - **访问决策管理器**:Spring Security使用`AccessDecisionManager`来决定用户是否可以访问某个资源。默认使用投票机制,根据用户的权限角色来决定。 - **访问控制表达式**:你可以使用`@...
spring security认证授权流程
weixin_47618391的博客
05-27 5456
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8078
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring Boot、Spring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
Spring security授权
ChatYU的博客
12-23 3089
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
SpringSecurity授权
chenxingxingxing的博客
07-15 713
RBAC(RoleBasedAccessControl)中文全称是基于角色的访问控制。在RBAC模型中,权限与角色相关联,不同的角色有不同的权限,用户通过被分配为不同的角色从而获得不同角色的权限,从而简化用户的权限管理。用户与角色关联后,同能进行自主授权和权限专营,必须通过角色来控制授权信息,实现访问控制。...
SpringSecurity安全授权
m0_62943934的博客
12-07 1459
如果我们不想使用默认提供的权限认证,或面对复杂的业务需要时,可能需要采取自定义认证方式实现权限认证。自定义一个类//获取当前用户的权限//判断用户权限集合中是否存在 authority在需要使用的 controller 前加上 @PreAuthorize("@ex.hasAutority('dba')") 表示访问前的验证补充是 Spring Security 的关键部分,用于配置 Web 安全性的详细内容。以下是在 Spring Security 中常用的。
SpringSecurity授权
Littewood的博客
07-24 3429
SpringSecurity授权介绍
SpringSecurity授权
weixin_51992178的博客
10-23 1304
用户登录后会根据用户的身份进行角色划分,比如登录图书馆系统,一般就有管理员和普通学生等不同角色。用户的一个操作实际上就是在访问我们提供的`接口`(编写的对应访问路径的 Servlet),比如登陆,就需要调用`/login`接口,退出登陆就要调用/`logout`接口,因此,决定用户能否使用某个功能,只需要决定用户是否能够访问对应的 Servlet。
Spring Security 认证授权
Voryla的博客
11-21 3106
Spring Security 认证授权 1. 基本概念 1.1 什么是认证 ​ **认证(what):**认证就是判断一个用户身份是否合法的过程。当用户某项资源时,需要验证他的身份信息,身份合法能够访问资源,身份不合法不允许访问资源。 ​ **为什么需要认证(Why)????*认证的必要性存在于两个方面,其一:保护用户的数据、隐私安全;其二:保护服务器减少被攻击的概率。 ​ **认证的方式(Who):**账号密码认证,指纹认证,手机短信认证,人脸认证。 1.2 什么是会话 ​ **会话:**
Spring Security实现Oauth2授权详解
在设置Spring Security Oauth2时,我们需要添加相应的Maven依赖,如`spring-boot-starter-web`用于Web支持,`jackson-datatype-joda`用于JSON序列化,以及`thymeleaf-extras-springsecurity4`为Thymeleaf模板引擎...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值