Spring源代码解析(十):Spring Acegi框架授权的实现

最新推荐文章于 2024-07-10 21:37:49 发布
最新推荐文章于 2024-07-10 21:37:49 发布
阅读量84 收藏
点赞数
文章标签: java
我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的: 
Java代码   收藏代码
  1. //这里是拦截器拦截HTTP请求的入口  
  2.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  
  3.         throws IOException, ServletException {  
  4.         FilterInvocation fi = new FilterInvocation(request, response, chain);  
  5.         invoke(fi);  
  6.     }  
  7. //这是具体的拦截调用  
  8.     public void invoke(FilterInvocation fi) throws IOException, ServletException {  
  9.         if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)  
  10.             && observeOncePerRequest) {  
  11.            //在第一次进行过安全检查之后就不会再做了  
  12.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
  13.         } else {  
  14.             //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了  
  15.             if (fi.getRequest() != null) {  
  16.                 fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);  
  17.             }  
  18.             //这里是做安全检查的地方  
  19.             InterceptorStatusToken token = super.beforeInvocation(fi);  
  20.             //接着向拦截器链执行  
  21.             try {  
  22.                 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  
  23.             } finally {  
  24.                 super.afterInvocation(token, null);  
  25.             }  
  26.         }  
  27.     }  

我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的: 
Java代码   收藏代码
  1. protected InterceptorStatusToken beforeInvocation(Object object) {  
  2.     Assert.notNull(object, "Object was null");  
  3.   
  4.     if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {  
  5.         throw new IllegalArgumentException("Security invocation attempted for object "  
  6.             + object.getClass().getName()  
  7.             + " but AbstractSecurityInterceptor only configured to support secure objects of type: "  
  8.             + getSecureObjectClass());  
  9.     }  
  10.     //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置  
  11.     ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);  
  12.   
  13.     if (attr == null) {  
  14.         if(rejectPublicInvocations) {  
  15.             throw new IllegalArgumentException(  
  16.                   "No public invocations are allowed via this AbstractSecurityInterceptor. "  
  17.                 + "This indicates a configuration error because the "  
  18.                 + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");  
  19.         }  
  20.   
  21.         if (logger.isDebugEnabled()) {  
  22.             logger.debug("Public object - authentication not attempted");  
  23.         }  
  24.   
  25.         publishEvent(new PublicInvocationEvent(object));  
  26.   
  27.         return null// no further work post-invocation  
  28.     }  
  29.   
  30.   
  31.     if (logger.isDebugEnabled()) {  
  32.         logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());  
  33.     }  
  34.     //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去  
  35.     if (SecurityContextHolder.getContext().getAuthentication() == null) {  
  36.         credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",  
  37.                 "An Authentication object was not found in the SecurityContext"), object, attr);  
  38.     }  
  39.   
  40.     // 如果前面没有处理鉴权,这里需要对鉴权进行处理  
  41.     Authentication authenticated;  
  42.   
  43.     if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {  
  44.         try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理  
  45.             authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()  
  46.                                                                                          .getAuthentication());  
  47.         } catch (AuthenticationException authenticationException) {  
  48.             throw authenticationException;  
  49.         }  
  50.   
  51.         // We don't authenticated.setAuthentication(true), because each provider should do that  
  52.         if (logger.isDebugEnabled()) {  
  53.             logger.debug("Successfully Authenticated: " + authenticated.toString());  
  54.         }  
  55.         //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用  
  56.         SecurityContextHolder.getContext().setAuthentication(authenticated);  
  57.     } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication  
  58.         authenticated = SecurityContextHolder.getContext().getAuthentication();  
  59.   
  60.         if (logger.isDebugEnabled()) {  
  61.             logger.debug("Previously Authenticated: " + authenticated.toString());  
  62.         }  
  63.     }  
  64.   
  65.     // 这是处理授权的过程  
  66.     try {  
  67.         //调用配置好的AccessDecisionManager来进行授权  
  68.         this.accessDecisionManager.decide(authenticated, object, attr);  
  69.     } catch (AccessDeniedException accessDeniedException) {  
  70.         //授权不成功向外发布事件  
  71.         AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,  
  72.                 accessDeniedException);  
  73.         publishEvent(event);  
  74.   
  75.         throw accessDeniedException;  
  76.     }  
  77.   
  78.     if (logger.isDebugEnabled()) {  
  79.         logger.debug("Authorization successful");  
  80.     }  
  81.   
  82.     AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);  
  83.     publishEvent(event);  
  84.   
  85.     // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空  
  86.     Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);  
  87.   
  88.     if (runAs == null) {  
  89.         if (logger.isDebugEnabled()) {  
  90.             logger.debug("RunAsManager did not change Authentication object");  
  91.         }  
  92.   
  93.         // no further work post-invocation  
  94.         return new InterceptorStatusToken(authenticated, false, attr, object);  
  95.     } else {  
  96.         if (logger.isDebugEnabled()) {  
  97.             logger.debug("Switching to RunAs Authentication: " + runAs.toString());  
  98.         }  
  99.   
  100.         SecurityContextHolder.getContext().setAuthentication(runAs);  
  101.   
  102.         // revert to token.Authenticated post-invocation  
  103.         return new InterceptorStatusToken(authenticated, true, attr, object);  
  104.     }  
  105. }  

到这里我们假设配置AffirmativeBased作为AccessDecisionManager: 
Java代码   收藏代码
  1. //这里定义了决策机制,需要全票才能通过  
  2.     public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)  
  3.         throws AccessDeniedException {  
  4.         //这里取得配置好的迭代器集合  
  5.         Iterator iter = this.getDecisionVoters().iterator();  
  6.         int deny = 0;  
  7.         //依次使用各个投票器进行投票,并对投票结果进行计票  
  8.         while (iter.hasNext()) {  
  9.             AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();  
  10.             int result = voter.vote(authentication, object, config);  
  11.             //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票  
  12.             switch (result) {  
  13.             case AccessDecisionVoter.ACCESS_GRANTED:  
  14.                 return;  
  15.   
  16.             case AccessDecisionVoter.ACCESS_DENIED:  
  17.             //这里对反对票进行计数  
  18.                 deny++;  
  19.   
  20.                 break;  
  21.   
  22.             default:  
  23.                 break;  
  24.             }  
  25.         }  
  26.         //如果有反对票,抛出异常,整个授权不通过  
  27.         if (deny > 0) {  
  28.             throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",  
  29.                     "Access is denied"));  
  30.         }  
  31.   
  32.         // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制  
  33.         checkAllowIfAllAbstainDecisions();  
  34.     }  
  35. 具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票:  
  36.     public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {  
  37.         int result = ACCESS_ABSTAIN;  
  38.         //这里取得资源的安全配置  
  39.         Iterator iter = config.getConfigAttributes();  
  40.   
  41.         while (iter.hasNext()) {  
  42.             ConfigAttribute attribute = (ConfigAttribute) iter.next();  
  43.               
  44.             if (this.supports(attribute)) {  
  45.                 result = ACCESS_DENIED;  
  46.   
  47.                 // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置  
  48.                 // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。  
  49.                 for (int i = 0; i < authentication.getAuthorities().length; i++) {  
  50.                     if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {  
  51.                         return ACCESS_GRANTED;  
  52.                     }  
  53.                 }  
  54.             }  
  55.         }  
  56.   
  57.         return result;  
  58.     }  

上面就是对整个授权过程的一个分析,从FilterSecurityInterceptor拦截Http请求入手,然后读取对资源的安全配置以后,把这些信息交由AccessDecisionManager来进行决策,Spring为我们提供了若干决策器来使用,在决策器中我们可以配置投票器来完成投票,我们在上面具体分析了角色投票器的使用过程。
weixin_33901926
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring源码分析-Spring核心类认识(一)
yqx1714768514的博客
01-08 724
相信每个Java程序员都使用过Spring这个框架Spring不仅作用于服务器端的开发,从简单性、可测试性和松耦合性角度而言,绝大部分Java应用都可以从Spring中受益,如今的Spring全家桶已经是风靡全球,深受广大程序员的喜爱,本系列文章将带你一步步窥探Spring核心。
Spring源码解析(三):Spring的AOP实现
qq423196778的博客
08-13 357
什么是AOP 在分析AOP的实现之前,我们先来说说什么叫AOP。在面对对象开发中,我们总会发现程序中有一些重复的代码,这些代码穿插在业务功能的实现中,与业务代码耦合在一起,这时候就是AOP大显身手的时候。AOP即为面向切面编程,我们通过AOP将这部分代码抽取出来单独维护,封装到一个个切面中,并且为如何使用在何处使用这些代码对业务功能进行织入和增强提供了丰富灵活的手段。 AOP的基本概念 ...
Spring MVC 第一次访问实例化过程
modun1986的专栏
10-27 236
[DEBUG,FilterChainProxy,http-8080-1] Converted URL to lowercase, from: '/index.jsp'; to: '/index.jsp'[DEBUG,FilterChainProxy,http-8080-1] Candidate is: '/index.jsp'; pattern is /**; matched=true[DEBUG...
springSecurity授权简单分析
qiuxinfa123的博客
04-16 733
弄完了认证流程,当然要看看授权是怎样进行的了。这里,不会把每一步的代码都贴出来,完整的代码,已经放到了GitHub:https://github.com/qiuxinfa/springSecurity-study 当访问系统的某个接口时,比如http://localhost:8080/admin/users,那么会先来到FilterSecurityInterceptor的doFilter方...
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
spring security 用户授权原理
swadian2008的博客
09-12 632
SecurityMetadataSource其实就是读取访问策略的抽象,读取的内容就是我们配置的访问规则。进入权限验证决策方法,AccessDecisionManager#decide,AccessDecisionManager 有三个实现,默认使用 AffirmativeBased,其中两种决策方式,文章后边也会介绍。3. 最后,FilterSecurityInterceptor 会调用 AccessDecisionManager 进行授权决策,若决策通过,则允许访问资源,否则将禁止访问。
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1243
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
Spring源代码解析():Spring_Acegi框架授权实现.doc
08-04
在本文中,我们将深入探讨Spring_Acegi框架如何实现授权机制,特别是通过`FilterSecurityInterceptor`来处理HTTP请求的安全检查。 `FilterSecurityInterceptor`是Spring Security的核心组件之一,它负责拦截HTTP...
Spring源代码解析9:SpringAcegi框架鉴权的实现.pdf
10-05
Spring源代码解析9中,我们关注的是如何实现这个过程,特别是涉及用户账户状态检查和密码验证的部分。这部分代码展示了Spring Acegi如何与数据库交互来获取并验证用户信息。 首先,`Assert.notNull(user, ...
Spring源代码解析(九):Spring_Acegi框架鉴权的实现.doc
08-04
Spring框架中,Acegi(现在已经演变为Spring Security)是一个强大的安全管理组件,它提供了认证、授权等核心安全功能。在Spring_Acegi框架鉴权的实现中,我们主要关注的是如何处理用户的登录验证以及在验证成功或...
spring源代码解析.pdf
10-04
这篇源代码解析主要关注Spring Acegi中AuthenticationProcessingFilter的实现,它是Web页面验证的核心部分。AuthenticationProcessingFilter是Servlet Filter接口的实现,主要用于在请求到达目标资源之前进行身份...
Spring源代码解析.rar
04-16
Spring源代码解析1:IOC容器.doc Spring源代码解析2:IoC容器在Web容器中的启动.doc Spring源代码解析3:Spring JDBC .doc Spring源代码解析4:Spring MVC .doc ...Spring源代码解析10:Spring Acegi框架授权实现.doc
Spring Security 随记
shanchahua123456的博客
05-29 1030
基本功能(认证+授权) https://blog.csdn.net/Lammonpeter/article/details/79611439 https://www.bilibili.com/video/av40943281 核心过滤器链 https://blog.csdn.net/dushiwodecuo/article/details/78913113 l流程 :Secur...
Spring Security判断用户是否已经登录
tedeum
02-14 7289
方法一、JSP中检查user principal &lt;c:if test="${pageContext.request.userPrincipal.name != null}"&gt; &lt;label&gt; Hi ${pageContext.request.userPrincipal.name} ! Welcome to our site &lt;/...
SpringSecurity分析-3-访问授权
weixin_33869377的博客
06-13 359
2019独角兽企业重金招聘Python工程师标准>>> ...
解决Spring Security 开启remember-me(持久化),session并发控制后重启服务器remember-me持久化凭证消失问题
Chenctrl的博客
10-29 5939
学习Spring security过程中实现了remember-me的持久化实现(其实很简单的呀)<remember-me key="elim" remember-me-parameter="remember-me" token-validity-seconds="604800" data-source-ref="dataSource" user-service-ref="custom
java重定向session失效_SpringSecurity Session并发过期后会重定向到 /login (入口点问题)问题的解决...
weixin_35972359的博客
02-27 1264
问题描述在 SpringSecurity 中,我想配置一个关于session并发的控制,于是我是这样配置的@Overrideprotected void configure(HttpSecurity http) throws Exception {http.sessionManagement().invalidSessionStrategy(new InvalidSessionStrategyIm...
Spring Security授权源码分析
Charge8的博客
01-09 1078
Spring Security授权源码分析
配置Java开发环境
最新发布
Broken_x的博客
07-10 1600
Java开发环境配置

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值