SpringSecurity(二) :授权流程

最新推荐文章于 2024-08-08 23:55:21 发布
最新推荐文章于 2024-08-08 23:55:21 发布
阅读量853 收藏 6
点赞数 1
分类专栏: 授权认证 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42897427/article/details/112094076
版权

文章目录

一、授权流程

Spring Security可以通过 http.authorizeRequests()web请求进行授权保护。 Spring Security使用标准 Filter建立了对 web请求的拦截,最终对资源的授权访问。

Spring Security的授权流程如下:


分析授权流程:

  1. 拦截请求,已认证用户访问受保护的 web资源被 SpringFilterChain中的 FilterSecurityInterceptor的子类拦截。

  2. 获取资源访问策略FilterSecurityInterceptor会从 SecurityMetadataSource的子类 DefaultFilterInvocationSecurityMetadataSource获取要访问当前资源所需要的权限 Collection<configattribute></configattribute>

SecurityMetadataSource读取访问策略的抽象,而读取的内容,就是我们配置的访问规则,读取的访问策略如:

http
.authorizeRequests() .antMatchers("/r/r1").hasAuthority("p1")
.antMatchers("/r/r2").hasAuthority("p2")
...
  1. FilterSecurityInterceptor会调用 AccessDecisionManager进行授权决策,若决策通过,则允许访问资 源,否则将禁止访问。

1.1 AccessDecisionManager

AccessDecisionManager接口定义:

public interface AccessDecisionManager {
    void decide(Authentication var1, Object var2,
    	Collection<ConfigAttribute> var3)
    	throws AccessDeniedException,
    	InsufficientAuthenticationException;
    boolean supports(ConfigAttribute var1);
    boolean supports(Class<?> var1);
}

decide()方法是 AccessDecisionManager的核心, 用来鉴定当前用户是否有访问对应受保护资源的权限,其中参数:

var1:要访问资源的访问者的身份

var2:要访问的受保护资源,web请求对应 FilterInvocation

var3:是受保护资源的访问策略,通过 SecurityMetadatasource

1.2 授权决策

AccessDecisionManager采用投票的方式来确定是否能够访问受保护资源。

通过上图可以看出, AccessDecisionManager中包含了一系列 AccessDecisionVoter将会被用来对 Authentication是否有权访问受保护对象进行投票, AccessDecisionManager根据投票结果,做出最终决策。

AccessDecisionVoter接口定义如下:

public interface AccessDecisionVoter<S> {
    int ACCESS_GRANTED = 1;
    int ACCESS_ABSTAIN = 0;
    int ACCESS_DENIED = -1;

    boolean supports(ConfigAttribute var1);

    boolean supports(Class<?> var1);

    int vote(Authentication var1, S var2,
     Collection<ConfigAttribute> var3);
}

vote()的返回结果会是 AccessDecisionVoter中定义的三个常量之一。 ACCESS_GRANTED表示同意, ACCESS_DENIED表示拒绝, ACCESS_ABSTAIN表示弃权。如果 AccessDecisionVoter不能判定当前 Authentication是否拥有访问对应受保护对象的权限,则 vote()方法的返回值为 ACCESS_ABSTAIN

Spring Security内置了三个基于投票的 AccessDecisionManager实现类如下,它们分别是 AffirmativeBasedConsensusBasedUnaimousBasedSpring Security默认使用的是 AffirmativeBased

​1、AffirmativeBased:

①只要有 AccessDecisionVoter的投票为 ACCESS_GRANTED则同意用户进行访问;

②如果全部弃权也表示通过;

③如果没有一个投赞成票,但是有人投反对票,则将抛出 AccessDeniedException

​2、ConsensusBased:

①如果赞成票多余反对票则表示通过;

②如果反对票多于赞成票则将抛出 AccessDeniedException

③如果赞成票与反对票相同且不等于0,并且属性 allowEqualGrantedDeniedDecision的值为true,则表示通过,否则将抛出 AccessDeniedExceptionallowEqualGrantedDeniedDecision的默认值为true。

④如果所有的 AccessDecisionVoter都弃权了,则将视参数 allowIfAllAbstainDecisions的值而定,如果该值为true则表示通过,否则将抛出异常 AccessDeniedException。参数 allowIfAllAbstainDecisions的值默认为false。

3、UnanimousBased:

UnanimousBased的逻辑与另外两种实现有点不一样,另外两种会一次性把受保护对象的配置属性全部传递给 AccessDecisionVoter进行投票,而 UnanimousBased会一次只传递一个 ConfigAttributeAccessDecisionVoter进行投票。这也就意味着如果我们的 AccessDecisionVoter的逻辑是只要传递进来的 ConfigAttribute中有一个能够匹配则投赞成票,但是放到 UnanimousBased中其投票结果就不一定是赞成了。 UnanimousBased的逻辑具体来说是这样的:
①如果受保护对象配置的某一个 ConfigAttribute被任意的 AccessDecisionVoter反对了,则将抛出 AccessDeniedException

②如果没有反对票,但是有赞成票,则表示通过。

③如果全部弃权了,则将视参数 allowIfAllAbstainDecisions的值而定,true则通过,false则抛出 AccessDeniedException

Spring Security也内置一些投票者实现类如 RoleVoterAuthenticatedVoterWebExpressionVoter等。

刘架构
关注
专栏目录
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
Spring Security系列教程12--Spring Security认证授权流程
一一哥
09-24 5458
在上一章节中,一一哥 带大家认识了Spring Security内部关于认证授权的几个核心API,以及这几个核心API之间的引用关系,掌握了这些之后,我们就能进一步研究分析认证授权的内部实现原理了。这样才真正的达到了 "知其所以然"! 本篇文章中,壹哥 带各位小伙伴进一步分析认证授权的源码实现,请各位再坚持一下吧...... 一. Spring Security认证授权流程图概述 在上一章节中,壹哥就给各位贴出过Spring Security的认证授权流程图,该图展示了认证授权时经历的核心AP...
SpringSecurity(看这一篇就够了)
最新发布
m0_74436895的博客
08-08 2539
Spring SecuritySpring项目组提供的安全服务框架,核心功能包括认证和授权。它为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。认证认证即系统判断用户的身份是否合法,合法可继续访问,不合法则拒绝访问。常见的用户身份认证方式有:用户名密码登录、维码登录、手机短信登录、脸部识别认证、指纹认证等方式。认证是为了保护系统的隐私数据与资源,用户的身份合法才能访问该系统的资源。授权授权即认证通过后。
Spring security授权过程
weixin_42588555的博客
02-14 289
Spring Security 授权过程包括以下步骤: 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 授权决策:确定用户是否具有执行某个操作的权限。 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。 ...
3.spring security授权流程
weixin_45974277的博客
02-26 3787
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
spring security认证授权流程
weixin_47618391的博客
05-27 5454
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
SpringSecurity和OAuth2认证授权流程
michael_linux的博客,一个小小小学生。滴水穿石,步步为营,只为那刹那芳华。
04-24 3009
1、SpringSecurity认证授权流程 1.1、SpringSecurity认证流程 1.2、SpringSecurity授权流程 2、SpringSecurityOAuth2认证授权流程 2.1、SpringSecurityOAuth2认证流程 2.2、刷新token(refresh_token)的流程 2.3、SpringSecurityOAuth2授权流程
springsecurity原理流程图.pdf
09-08
1. 认证流程: a. 请求到来时,Spring Security框架首先会通过一系列的过滤器来处理HTTP请求。每个过滤器都扮演着特定的角色,共同完成认证和授权的过程。 b. 过滤器链中的第一个关键过滤器是...
SpringSecurity授权基本流程
qq_44760653的博客
04-10 1883
SpringSecurity授权基本流程
spring security授权过程讲解
xiong02的博客
05-12 332
spring security授权过程讲解 在上篇文章中讲解了security的认证过程,在认证成功后它是执行了认证成功的方法successfulAuthentication里面主要的一条代码是将认证成功的Authentication放入SecurityContextHolder中。 SecurityContextHolder.getContext().setAuthentication(authResult); 然后我们开始讲解授权过程,在此之前我们需要了解两个过滤器 ExceptionTransla
SpringSecurity授权
小钟不想敲代码
05-28 5579
SpringSecurity授权
Spring Security 授权
weixin_45722666的博客
01-16 1363
本文介绍在 Spring Security 中如和对受限资源进行权限控制访问。
springsecurity最基础的授权过程
please93的博客
02-17 220
springsecurity最基础的授权过程
Springsecurity授权流程原理讲解
lily3130202512的博客
07-07 283
spring security
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1955
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权流程是这样的:(网上找的图)......
SpringSecurity授权流程详解和代码实现
qq_44749491的博客
06-30 5259
承接上一篇博客SpringSecurity认证流程详解和代码实现除了使用自带的权限校验方法,也可以定义自己的权限校验方法,在注解中使用自定义的方法。//获取当前用户的权限 Authentication authentication = SecurityContextHolder . getContext() . getAuthentication();//判断用户权限集合中是否存在authority return permissions . contains(authority);} }在SPEL。
SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 422
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析,SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
Spring Security 2.0:数据库存储授权信息的迁移策略
7. **Web 流程授权**:借助 Spring Web Flow 2.0,Spring Security 可以更好地管理网页的状态和导航授权。 8. **Web Services 安全性**:增强了对 WSS(Web Services Security)的支持,确保服务端通信的安全性。 ...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

刘架构

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值