Spring Security实现动态配置权限

最新推荐文章于 2024-05-07 20:13:41 发布

Nasho

最新推荐文章于 2024-05-07 20:13:41 发布

阅读量902

点赞数

文章标签： spring java 后端

本文链接：https://blog.csdn.net/qq_60458298/article/details/129771623

版权

在 Spring Security 中，实现动态配置权限可以通过实现 AccessDecisionVoter 接口和 AccessDecisionManager 接口来实现。具体来说，我们需要定义一个 AccessDecisionVoter 接口的实现类，一个 AccessDecisionManager 接口的实现类，并在配置中将其注册。下面是一个详细的实例：首先，我们创建一个 AccessDecisionVoter 接口的实现类 MyVoter，实现 vote() 方法，用于决策当前用户是否有权限访问资源：

public class MyVoter implements AccessDecisionVoter<Object> {
 
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
 
    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
 
    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        // 根据 authentication 和 attributes 决策当前用户是否有权限访问 object
        // 返回 ACCESS_GRANTED 表示有权限，返回 ACCESS_DENIED 表示无权限，返回 ACCESS_ABSTAIN 表示放行
    }
}

在上面的代码中，我们通过实现 vote() 方法，根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象，决策当前用户是否有权限访问该资源。

然后，我们创建一个 AccessDecisionManager 接口的实现类 MyManager，实现 decide() 方法，用于调用 MyVoter 进行决策：

public class MyManager implements AccessDecisionManager {
 
    private List<AccessDecisionVoter<?>> decisionVoters;
 
    public MyManager(List<AccessDecisionVoter<?>> decisionVoters) {
        this.decisionVoters = decisionVoters;
    }
 
    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) throws AccessDeniedException, InsufficientAuthenticationException {
        int result = 0;
        for (AccessDecisionVoter<?> voter : decisionVoters) {
            result = voter.vote(authentication, object, attributes);
            if (result == AccessDecisionVoter.ACCESS_DENIED) {
                throw new AccessDeniedException("Access is Denied");
            } else if (result == AccessDecisionVoter.ACCESS_GRANTED) {
                return;
            }
        }
        throw new AccessDeniedException("Access is Denied");
    }
 
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
 
    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }
}

在上面的代码中，我们通过实现 decide() 方法，调用 MyVoter 进行决策，如果决策结果为 ACCESS_DENIED，则抛出 AccessDeniedException 异常。否则，返回。最后，我们需要在 Spring Security 配置中将 MyManager 注册到 AccessDecisionManager 中，如下所示：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private MyVoter myVoter;
 
    @Bean
    public AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<?>> decisionVoters = new ArrayList<>();
        decisionVoters.add(myVoter);
        return new MyManager(decisionVoters);
    }
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .accessDecisionManager(accessDecisionManager());
    }
 
    // ...省略其他配置...
}

在上面的代码中，我们通过创建一个 AccessDecisionManager Bean，并将其中的 decisionVoters 属性设置为 MyVoter 对象集合，将 MyManager 注册到 AccessDecisionManager 中。然后，在 configure() 方法中，指定需要保护的资源，并将 accessDecisionManager() 方法返回的 Bean 设置为 AccessDecisionManager。需要注意的是，如果我们需要根据数据库或其他外部数据源动态配置权限，可以在 MyVoter 中进行相关的查询操作，以动态获取资源的 ConfigAttribute，然后再进行决策。综上所述，我们可以通过实现 AccessDecisionVoter 接口和 AccessDecisionManager 接口，并将其注册到 Spring Security 配置中来实现动态配置权限。

Nasho

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
Spring Security实现动态配置权限

需要注意的是，如果我们需要根据数据库或其他外部数据源动态配置权限，可以在 MyVoter 中进行相关的查询操作，以动态获取资源的 ConfigAttribute，然后再进行决策。在上面的代码中，我们通过实现 vote() 方法，根据当前用户的 Authentication 对象和资源的 ConfigAttribute 对象，决策当前用户是否有权限访问该资源。
复制链接

扫一扫