spring security配置访问决策管理器

最新推荐文章于 2022-10-01 08:25:27 发布
最新推荐文章于 2022-10-01 08:25:27 发布
阅读量1.4k 收藏
点赞数
文章标签: security spring acegi bean class apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vivi8233/article/details/4036114
版权

 

配置拦截过滤器
 

                
<bean id="filterInvocationInterceptor"
class="org.acegisecurity.intercept.web.FilterSecurityInterceptor">

<property name="authenticationManager" ref="authenticationManager" />

<property name="accessDecisionManager" ref="accessDecisionManager" />

<property name="objectDefinitionSource">
<value>
CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON
PATTERN_TYPE_APACHE_ANT
/protected/engineering/**=ROLE_HEAD_OF_ENGINEERING
/protected/marketing/**=ROLE_HEAD_OF_MARKETING
/**=IS_AUTHENTICATED_ANONYMOUSLY
</value>
</property>

</bean>

配置访问决策管理器

 

 <bean id="accessDecisionManager" class="org.acegisecurity.vote.AffirmativeBased">

<property name="decisionVoters">
<list>
<bean class="org.acegisecurity.vote.RoleVoter"/>
<bean class="org.acegisecurity.vote.AuthenticatedVoter" />
</list>
</property>

</bean>

 

以上是security配置投票管理器的代码 ,accessDecisionManager bean 是 org.acegisecurity.vote.AffirmativeBased 类的实例。accessDecisionManager bean 只包含一个参数,即投票者(voter)列表。

在 Acegi 中,投票者确定是否允许某个用户访问特定的资源。当使用 accessDecisionManager 查询时,投票者具有三个选项:允许访问(access-granted)、拒绝访问(access-denied),如果不确定的话则放弃投票(abstain from voting)。

不同类型的访问决策管理器解释投票者决策的方法也有所不同。清单 10 所示的 AffirmativeBased 访问决策管理器实现了简单的决策逻辑:如果任何投票者强制执行肯定投票,将允许用户访问所请求的资源。

 

投票者逻辑

Acegi 提供了若干个投票者实现类型。accessDecisionManager 将经过验证的用户的信息(包括用户的业务角色信息)和 objectDefinitionSource 对象传递给投票者。本文的示例使用了两种类型的投票者,RoleVoterAuthenticatedVoter,如清单 10 所示。现在看一下每种投票者的逻辑:

  • RoleVoter 只有在 objectDefinitionSource 对象的行中找到以 ROLE_ 前缀开头的角色时才进行投票。如果 RoleVoter 没有找到这样的行,将放弃投票;如果在用户业务角色中找到一个匹配的角色,它将投票给允许访问;如果没有找到匹配的角色,则投票给拒绝访问。在拦截过滤器中,有两个角色具有 ROLE_ 前缀:ROLE_HEAD_OF_ENGINEERINGROLE_HEAD_OF_MARKETING
  • AuthenticatedVoter 只有在 objectDefinitionSource 对象中找到具有某个预定义角色的行时才进行投票。在拦截过滤器 中,有这样一行:IS_AUTHENTICATED_ANONYMOUSLY。匿名身份验证意味着用户不能够进行身份验证。找到该行后,AuthenticatedVoter 将检查一个匿名身份验证的用户是否可以访问某些不受保护的资源(即这些资源没有包含在具备 ROLE_ 前缀的行中)。如果 AuthenticatedVoter 发现所请求的资源是不受保护的并且 objectDefinitionSource 对象允许匿名身份验证的用户访问不受保护的资源,它将投票给允许访问;否则就投票给拒绝访问。


 

吐司vivi
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
springsecurity使用配置详解
03-24
在提供的压缩包`springsecurity配置demo`中,你将找到示例代码和详细说明,这将帮助你更好地理解和实践上述概念。通过学习和实践这些示例,你将能够为自己的Spring应用程序构建强大的安全防护。
spring security访问控制决策管理器
a807719447的专栏
11-16 505
我们先来看下类图。顶层接口为 AccessDecisionManager,仅有一个抽象实现,三个具体实现类继承自抽象类。 AffirmativeBased 一票通过制 ConsensusBased 半数以上通过制 UnanimousBased 全数通过制 见名知意,不用我多解释了。 在这几个决策器中调用投票器AccessDecisionVoter,进行投票。 RoleVoter投票器的逻辑如下: public int vote(Authentication authentication,.
Spring Security(15)——权限鉴定结构
dotedy的博客
10-16 2606
Spring Security角色继承AffirmativeBasedVoter权限鉴定 权限鉴定结构 目录 1.1      权限 1.2      调用前的处理 1.2.1     AccessDecisionManager 1.2.2     基于投票的AccessDecisionManager实现 1.3      调用后的处理 1.4      角色的继承
Spring Security学习(三)授权管理器
德玛西亚
03-29 971
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
AccessDecisionManager 访问决策管理器
2023年最新地推相关信息
10-01 369
throw new AccessDeniedException(“没有操作权限”);访问决策管理器是做什么的?这一段代码是什么意思呀。// 获取用户权限列表。
springSecurity之自定义访问决策管理器
远方的少年
04-08 919
      springSecurity是一个高度可配置的安全框架,它既提供了许多默认的配置方便初学者,也可以通过定制化的配置来完成不同系统的个性化需求。下面要讲的就是配置自定义的访问决策管理器。      在springSecurity中,我们可以通过过滤器来实现粗粒度的对web请求的访问控制,也可以使用访问决策管理器来对方法级别进行细粒度的权限控制。背后就是通过aop中的around advi...
SpringSecurity笔记,编程不良人笔记
10-28
在`SpringSecurity.md`和`SpringSecurity.pdf`文档中,可能包含SpringSecurity配置、自定义用户服务、授权策略等方面的代码示例。`codes`目录可能包含实际运行的项目代码,方便读者实践和理解。 8. **图笔记.draw...
SPRING SECURITY配置
07-30
**Spring Security配置详解** Spring Security是一款强大的安全框架,它为Java应用提供了全面的安全服务,包括认证、授权和访问控制。本文将深入探讨Spring Security的核心概念、配置方式以及常见应用场景。 ### 1...
话说Spring Security权限管理(源码详解)
08-31
Spring Security 是一个强大的安全框架,用于管理Web应用和企业级应用的安全性。权限管理是Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中...
spring security动态配置url权限的2种实现方法
08-27
Spring Security中,权限配置通常是静态的,即在配置文件或代码中预先定义好URL与访问角色的关系。然而,在某些业务场景中,可能需要根据运行时条件动态地调整这些权限设置。本文将探讨两种在Spring Security中...
Spring Security教程(8)---- 自定义决策管理器及修改权限前缀
热门推荐
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-17 2万+
首先介绍下Spring决策管理器,其接口为AccessDecisionManager,抽象类为AbstractAccessDecisionManager。而我们要自定义决策管理器的话一般是继承抽象类而不去直接实现接口。 在Spring中引入了投票器(AccessDecisionVoter)的概念,有无权限访问的最终觉得权是由投票器来决定的,最常见的投票器为RoleVoter,在RoleVote
Spring Security系列四 自定义决策管理器(动态权限码)
程序猿开发日志【学习永无止境】
01-13 3325
前言 前面我们已经实现了用户的自定义登录及密码的加密,接下来就是动态的权限验证了,也就是实现Spring Security决策管理器AccessDecisionManager。 权限资源 SecurityMetadataSource 要实现动态的权限验证,当然要先有对应的访问权限资源了。Spring Security是通过SecurityMetadataSource来加载访
spring security3.x学习(7)_访问决策管理
杜雷的技术博客
09-18 1351
继续学习授权的这个过程。。 spring security最后一个过滤器是FilterSecurityInterceptor,如果到了最后一个过滤器的话,用户登肯定是一个合法用户。 我们可以通过获取他的一系列权限信息来判断用户是否有权限可以访问。 那如何获取权限信息呢? 我们通过 SecurityContextHolder.getContext().getAuthentication()
Spring Security 定义决策管理器(动态权限码)
badun4778的博客
08-26 167
原文转载https://www.ktanx.com/blog/p/4929 转载于:https://www.cnblogs.com/MrEcho/p/11413192.html
(一)spring security,权限决策器的运用
qq_59957710的博客
02-17 663
MyAccessDecisionManager 需要实现AccessDecisionManager的void decide(Authentication auth,Object object,Collection<ConfigAttribute> cas)方法。 decide方法先查询此用户当前拥有的权限,然后与上面过滤器核查出来的权限列表作对比,判断用户是否具有这个访问权限,所以叫权限决策器。 方法参数: authentication包含了当前用户信息,包括权限 object 就是.
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
SpringSecurity系列文章 (四)Spring Security 配置以及一些类的分析
kay三石
01-19 400
Spring Security配置&WebSecurityConfigurerAdapter WebSecurityConfigurerAdapter提供了简洁方式来创建WebSecurityConfigurer,其作为基类,可通过实现该类自定义配置类。其自动从SpringFactoriesLoader查找AbstractHttpConfigurer让我们去扩展,想要实现必须创建一个AbstractHttpConfigurer的扩展类,并在classpath路径下创建一个文件META-INF/spr
Spring Batch 框架学习(六):决策器(JobExecutionDecider)的使用
qq_45003757的博客
12-05 1932
为什么要决策器? 前面咋们写的列子,咋们执行下一个step的时候,使用的是on的方式进行的判断,只有on通过了才可以执行下一个,on判断的是一个状态值,是我们step返回的一个状态值,但是on判断的条件比较简单,如果我们step返回的条件比较复杂,那就满足不了我们的使用,因此我们就可以使用这个决策器(JobExecutionDecider),当满足了条件,才会继续执行 新建一个决策器的类 自定义决策器对象 public class JobDecider implements JobExecutionDeci
Spring security的授权决策
最新发布
05-09
Spring Security的授权决策是基于AccessDecisionManager接口实现的。AccessDecisionManager接口定义了一个方法decide,该方法的作用是判断用户是否有访问资源的权限。AccessDecisionManager的默认实现是AffirmativeBased,它会遍历所有的AccessDecisionVoter,只要有一个投票者认为用户有权限访问该资源,就会通过授权决策。如果所有的投票者都认为用户没有访问该资源的权限,则授权决策失败。 AccessDecisionVoter接口定义了如何对用户的授权请求进行投票的方法。AccessDecisionVoter的默认实现是RoleVoter,它会根据用户所拥有的角色来进行投票。 除了RoleVoterSpring Security还提供了其他的AccessDecisionVoter实现,如AuthenticatedVoter、WebExpressionVoter等。用户也可以通过实现AccessDecisionVoter接口来自定义投票器。 总的来说,Spring Security的授权决策是通过AccessDecisionManager和AccessDecisionVoter实现的,可以通过配置不同的投票器来实现不同的授权策略。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值