spring security 用户授权原理

最新推荐文章于 2023-05-21 21:58:55 发布
最新推荐文章于 2023-05-21 21:58:55 发布
阅读量633 收藏 1
点赞数
分类专栏: Spring Security 文章标签: spring security 用户授权 用户授权原理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swadian2008/article/details/126805301
版权

目录

1、授权步骤

2、基于Filter的授权流程

3、授权源码分析

4、AccessDecisionManager 的三种实现

1、授权步骤

(1)URL 权限控制:调用 HttpSecurity#authorizeRequests() 方法,开始配置 URL 的权限控制。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin();//表单提交
        // 授权 -> 认证拦截
        http.authorizeRequests()
                .antMatchers("/login.html", "/error.html", "/main.html").permitAll()
                .antMatchers("/admin/test").hasAnyAuthority("admin")
                .anyRequest().authenticated();// 所有请求都必须认证
        http.csrf().disable(); //关闭csrf防护
    }

(2)方法权限控制:修改 WebSecurityConfig配置类,增加 @EnableGlobalMethodSecurity 注解,开启对 Spring Security 注解的方法,进行权限验证。

@Configuration // 标记为注解类
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
}

2、基于Filter的授权流程

FilterSecurityInterceptor 进行资源拦截,当拦截资源为方法时,还会进入到拦截器MethodSecurityInterceptor,它们的继承关系如下图

授权流程如下

1.拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的FilterSecurityInterceptor 的子类拦截。

2. 获取资源访问策略,FilterSecurityInterceptor 会从 SecurityMetadataSource 的子类DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限Collection。SecurityMetadataSource其实就是读取访问策略的抽象,读取的内容就是我们配置的访问规则。

3. 最后,FilterSecurityInterceptor 会调用 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。

3、授权源码分析

进入 FilterSecurityInterceptor,进入 FilterSecurityInterceptor#doFilter 方法

    public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		FilterInvocation fi = new FilterInvocation(request, response, chain);
        // 从 invoke 开始
		invoke(fi);
	}

然后进入 invoke 方法

    public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
            // 避免重新进行安全检查
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
            // 第一次调用此请求时,执行安全检查
			if (fi.getRequest() != null && observeOncePerRequest) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}
            // 通过这个方法进行权限验证
			InterceptorStatusToken token = super.beforeInvocation(fi);
			try {
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}
			super.afterInvocation(token, null);
		}
	}

进入 AbstractSecurityInterceptor#beforeInvocation,在该方法中,首先会去获取当前访问资源的权限,然后再进行权限验证的投票决策

protected InterceptorStatusToken beforeInvocation(Object object) {
		Assert.notNull(object, "Object was null");
		final boolean debug = logger.isDebugEnabled();
		if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
			throw new IllegalArgumentException(
					"Security invocation attempted for object "
							+ object.getClass().getName()
							+ " but AbstractSecurityInterceptor only configured to support secure objects of type: "
							+ getSecureObjectClass());
		}
        // 1-获取访问资源的权限->资源是authenticated,还是permitAll
		Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
				.getAttributes(object);
		if (attributes == null || attributes.isEmpty()) {
			if (rejectPublicInvocations) {
				throw new IllegalArgumentException(
						"Secure object invocation "
								+ object
								+ " was denied as public invocations are not allowed via this interceptor. "
								+ "This indicates a configuration error because the "
								+ "rejectPublicInvocations property is set to 'true'");
			}
			if (debug) {
				logger.debug("Public object - authentication not attempted");
			}
			publishEvent(new PublicInvocationEvent(object));
			return null; // no further work post-invocation
		}
		if (debug) {
			logger.debug("Secure object: " + object + "; Attributes: " + attributes);
		}
		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			credentialsNotFound(messages.getMessage(
					"AbstractSecurityInterceptor.authenticationNotFound",
					"An Authentication object was not found in the SecurityContext"),
					object, attributes);
		}
        // 2-获取登陆用户的权限
		Authentication authenticated = authenticateIfRequired();

		// Attempt authorization
		try {
            // 3-核心投票方法:尝试进行权限验证
			this.accessDecisionManager.decide(authenticated, object, attributes);
		}
		catch (AccessDeniedException accessDeniedException) {
			publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
					accessDeniedException));

			throw accessDeniedException;
		}
		if (debug) {
			logger.debug("Authorization successful");
		}
		if (publishAuthorizationSuccess) {
			publishEvent(new AuthorizedEvent(object, attributes, authenticated));
		}
		// Attempt to run as a different user
		Authentication runAs = this.runAsManager.buildRunAs(authenticated, object,
				attributes);
		if (runAs == null) {
			if (debug) {
				logger.debug("RunAsManager did not change Authentication object");
			}
			// no further work post-invocation
			return new InterceptorStatusToken(SecurityContextHolder.getContext(), false,
					attributes, object);
		}
		else {
			if (debug) {
				logger.debug("Switching to RunAs Authentication: " + runAs);
			}
			SecurityContext origCtx = SecurityContextHolder.getContext();
			SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
			SecurityContextHolder.getContext().setAuthentication(runAs);
			// need to revert to token.Authenticated post-invocation
			return new InterceptorStatusToken(origCtx, true, attributes, object);
		}
	}

进入权限验证决策方法,AccessDecisionManager#decide,AccessDecisionManager 有三个实现,默认使用 AffirmativeBased,其中两种决策方式,文章后边也会介绍。此处,我们先看第一个

进入 AffirmativeBased#decide 方法,我们去看它的决策实现

public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int deny = 0;
        // 对权限进行循环遍历
		for (AccessDecisionVoter voter : getDecisionVoters()) {
            // 获取投票结果
			int result = voter.vote(authentication, object, configAttributes);
			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}
			switch (result) {
			case AccessDecisionVoter.ACCESS_GRANTED://同意返回 -> 跳出循环
				return;
			case AccessDecisionVoter.ACCESS_DENIED: //拒绝
				deny++; // 统计拒绝次数
				break; // 继续下一次循环
			default:
				break; // 弃权 -> 继续下一次循环
			}
		}
        // 如果统计拒绝次数 > 0
		if (deny > 0) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
        // 如果每个投票者都选择放弃,默认也会抛出 AccessDeniedException
        // private boolean allowIfAllAbstainDecisions = false; 是否允许放弃决策,默认flase
		checkAllowIfAllAbstainDecisions();
	}

至此,投票决策逻辑分析完成。

4、AccessDecisionManager 的三种实现

AccessDecisionManager 采用投票的方式来确定是否能够访问受保护资源。 AccessDecisionManager 中包含的一系列 AccessDecisionVoter 将会被用来对Authentication是否有权访问受保护对象进行投票,AccessDecisionManager根据投票结果,做出最终决策。

// 做出最终的访问控制(授权)决策。
public interface AccessDecisionManager {
	// ~ Methods
	// 为传递的参数解析访问控制决策。
    // authentication 调用方法的调用者(非空)
	// object 对象被调用的受保护对象
	// configAttributes 与被调用的受保护对象关联的配置属性
	void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,
			InsufficientAuthenticationException;

    // 指示此AccessDecisionManager是否能够处理传入的ConfigAttribute。
	boolean supports(ConfigAttribute attribute);

    // 指示AccessDecisionManager实现是否能够为指定的受保护对象类型提供访问控制决策。
	boolean supports(Class<?> clazz);
}

AffirmativeBased

如果有 AccessDecisionVoter 的投票为 ACCESS_GRANTED 则同意用户进行访问,但如果统计到反对票,则将抛出AccessDeniedException。

    public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int deny = 0;
        // 获取投票结果
		for (AccessDecisionVoter voter : getDecisionVoters()) {
			int result = voter.vote(authentication, object, configAttributes);
			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}
			switch (result) {
			case AccessDecisionVoter.ACCESS_GRANTED: // 匹配到同意票,直接返回
				return;
			case AccessDecisionVoter.ACCESS_DENIED: // 决绝
				deny++;
				break;
			default:
				break;
			}
		}
        // 统计到拒绝票,抛出异常
		if (deny > 0) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
		// 全体弃票,抛出异常
		checkAllowIfAllAbstainDecisions();
	}

Spring security默认使用的是AffirmativeBased。

ConsensusBased(少数服从多数)

如果赞成票多于反对票则表示通过,如果赞成票与反对票相同且不等于0,并且属性allowIfEqualGrantedDeniedDecisions 的值为true,则表示通过,否则将抛出异常AccessDeniedException。参数allowIfEqualGrantedDeniedDecisions的值默认为true。

public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int grant = 0;
		int deny = 0;
		for (AccessDecisionVoter voter : getDecisionVoters()) {
            // 1-获取投票结果
			int result = voter.vote(authentication, object, configAttributes);
			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}
			switch (result) {
			case AccessDecisionVoter.ACCESS_GRANTED:
				grant++; // 统计同意次数
				break;
			case AccessDecisionVoter.ACCESS_DENIED:
				deny++; // 统计决绝次数
				break;
			default:
				break;
			}
		}
		if (grant > deny) { // 2-比较同意次数和拒绝次数
			return;
		}
		if (deny > grant) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
		if ((grant == deny) && (grant != 0)) { // 3-判断是否允许两个次数相等的情况
			if (this.allowIfEqualGrantedDeniedDecisions) {
				return;
			}
			else {
				throw new AccessDeniedException(messages.getMessage(
						"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
			}
		}
		// 4-对弃权票的处理
		checkAllowIfAllAbstainDecisions();
	}

UnanimousBased(一票否决)

如果没有反对票,但是有赞成票,则表示通过。 

public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> attributes) throws AccessDeniedException {
		int grant = 0;
		List<ConfigAttribute> singleAttributeList = new ArrayList<>(1);
		singleAttributeList.add(null);
		for (ConfigAttribute attribute : attributes) {
			singleAttributeList.set(0, attribute);
			for (AccessDecisionVoter voter : getDecisionVoters()) {
                // 获取投票结果
				int result = voter.vote(authentication, object, singleAttributeList);
				if (logger.isDebugEnabled()) {
					logger.debug("Voter: " + voter + ", returned: " + result);
				}
				switch (result) {
				case AccessDecisionVoter.ACCESS_GRANTED:
					grant++;
					break;
				case AccessDecisionVoter.ACCESS_DENIED: // 有拒绝,直接抛异常
					throw new AccessDeniedException(messages.getMessage(
							"AbstractAccessDecisionManager.accessDenied",
							"Access is denied"));
				default:
					break;
				}
			}
		}
		// To get this far, there were no deny votes
		if (grant > 0) { // 没有拒绝票
			return;
		}
		// To get this far, every AccessDecisionVoter abstained
		checkAllowIfAllAbstainDecisions();
	}

至此,AccessDecisionManager 的三种实现分析完毕。

swadian2008
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringSecurity-授权验证原理
陈海龙的格物之路
09-14 468
本文介绍SpringSecurity授权验证的原理。如果你还不了解原理,快来看看吧。
SpringSecurity权限控制实现原理解析
08-24
主要介绍了SpringSecurity权限控制实现原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security权限管理原理
Littlemotor
11-29 2361
授权是更具系统提前设置好的规则,给用户分配可以访问某一资源的权限,用户根据自己所具有的权限,去执行相应的操作,spring security提供的权限管理功能主要有两种: 基于过滤器的权限管理功能(FilterSecurityInterceptor) 基于AOP的权限管理功能(MethodSecurityInterceptor)
【第七篇】SpringSecurity中的权限管理原理
yqqの博客
03-18 381
SpringSecurity是一个权限管理框架,核心是认证和授权,前面已经系统的给大家介绍过了认证的实现和源码分析,本文重点来介绍下权限管理这块的原理
SpringSecurity安全权限框架及其原理
weixin_45710998的博客
05-12 820
首先创建最基本的SpringBoot项目,默认都会。主要是引入依赖和创建Controller进行测试。上述代码为依赖的引入。然后随便写一个controller,写上一个对应的接口,然后直接去浏览器访问。就会发现跳转到了这个登录页面,这个页面也就是Spring Security的默认登陆页面。如果访问很慢,就bootstrap.min.css这个静态资源加载不出来,换个网络即可。
SpringSecurity原理(权限访问流程)
Leon_Jinhai_Sun的博客
05-25 112
spring security 权限框架原理
weixin_30375247的博客
05-31 167
spring security 权限框架原理 转载于:https://www.cnblogs.com/gzhbk/p/10956192.html
Springsecurity授权流程原理讲解
lily3130202512的博客
07-07 272
spring security
深入理解Spring Security授权机制原理
朱季谦
02-10 1367
原创/朱季谦 在Spring Security权限框架里,若要对后端http接口实现权限授权控制,有两种实现方式。 一、一种是基于注解方法级的鉴权,其中,注解方式又有@Secured和@PreAuthorize两种。 @Secured如: 1 @PostMapping("/test") 2 @Secured({WebResRole.ROLE_PEOPLE_W}) 3 public void test(){ 4 ...... 5 return null; 6 }
Spring Security认证与授权原理(源码分析,超详细)
Zystem
05-03 7169
一、工作原理 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是所有进入系统的请求进行拦截,校验每一个请求是否能够访问它所期望的资源,可以通过Filter和AOP等技术来实现,Spring Security对web资源的保护是靠Filter来实现的。 当初始化Spring Security时,会创建一个名为SpringSecurityFilterChain的...
springsecurity角色和权限
12-13
springsecurity角色和权限
springsecurity最基础的授权过程
please93的博客
02-17 212
springsecurity最基础的授权过程
spring security初探之授权原理源码解析
cjのice_bear
03-29 1697
说说授权 授权的定义是:判断某用是否拥有访问某资源的权限。我们这里说的资源被定义为URL(当然也可以是方法,但这不在我们讨论的范围内),权限我们这里定义为角色,那么对授权的定义我们就转化成,判断用户是否拥有访问某条URL的角色。一个用户可以对应多个角色,一个角色可以对应多个资源,这样我们的假设就出来了。 对授权过程的假设 我们可以知道,在认证过程中,用户信息生成的Authentication
第五章:Spring Security 原理与权限认证
胡汉三
06-01 806
先说我们的目标,我们的目标是没有蛀牙。是使用Spring Security来帮助我们拦截那些没有权限,却又非要来访问我们的资源的操作。比如必须要登录了才能访问某一张图片,没有登录的话就不能访问,在比如没有新增用户权限就不能访问我们的新增用户的方法。 原理 Spring Security的主要(只是主要,不是全部)功能: 认证(authentication),用户登录 授权(authorization),判断用户有什么权限,可以访问什么资源 安全防护,拦截跨站请求,session攻击等 我们先来看看
Spring Security in Action 第十六章 SpringSecurity全局方法安全:预先和事后授权
Learning_xzj的博客
02-12 466
到现在为止,我们讨论了配置认证的各种方法。我们在第2章中从最直接的方法–HTTP Basic开始,然后我在第5章中向你展示了如何设置表单登录。我们在第12章到第15章中讨论了OAuth 2。但在授权方面,我们只讨论了api层面的配置。假设你的应用不是Web应用–你不能也使用Spring Security进行认证和授权吗?Spring Security很适合那些不通过HTTP api使用你的应用程序的场景。在本章中,你将学习如何在方法层面配置授权。我们将使用这种方法来配置Web和非Web应用程序中的授权,我们
Spring Security 授权
晴天
12-17 299
1. 什么是授权 Spring Security 是为web提供解决方案的安全框架,每一个安全框架都主要做两件事,认证和授权,在之前的章节中,已经给大家介绍了认证,今天主要是介绍授权;其实授权就是在认证之后,检验用户是否具有访问某一资源的权限;简单的说:认证就是你能干些什么。 2.Spring Security认证原理用户访问我们的资源,最后会交给叫 FilterSecurityInterce...
Spring Security学习(一)认证与授权
德玛西亚
03-07 1544
Spring Security Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。简单来说springsecurity主要对用户进行认证以及授权。认证是指验证用户是否为当前系统中的用户授权是指验证用户是否有权限执行某个操作。故此本文着重从认证以及授权两个方向对springsecurity进行分析。 核心组件 Security...
springboot项目运行,访问localhost网页突然css样式都无法显示了
最新发布
qq_52775647的博客
05-21 839
翻译一下就是:这是不推荐的-请使用permitAll通过httpsecurity# authorizeHttpRequests代替。原来的配置:是要将/resources/下的所有内容,都可以进行访问,不拦截.根本不知道怎么解决,有没有友友解决了的可以在评论区讨论一下!说明这是前面springSecurity出了问题.
SpringSecurity解决公共接口自定义权限验证失效问题,和源码分析
热门推荐
紫眸的博客
04-25 1万+
SpringSecurity自定义权限验证、解决鉴权失效和公共接口问题 本文主要介绍如何使用spring-security来实现自定义的权限验证,以及如何解决鉴权时部分接口鉴权失效变成公共接口的问题,用户登录认证的部分已省略。 自定义权限验证的实现 SpringSecurity自定义权限验证时需要实现三个接口: AccessDecisionManager : 自定义鉴权管理器,根据URL资源权...
Spring Security教程:原理与实战指南
通过这份教程,读者不仅可以了解到Spring Security的基本概念,还能掌握如何在实际项目中配置和使用这些模块,实现对用户身份验证、权限控制、会话管理、密码加密等多种安全功能。此外,由于Spring SecuritySpring...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

swadian2008

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值