Springsecurity的授权流程

已于 2022-11-01 15:11:36 修改
阅读量612 收藏 5
点赞数 2
分类专栏: java springsecurity 文章标签: java spring security
于 2022-11-01 14:57:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48917089/article/details/127633684
版权

Springsecurity的授权流程

所谓授权,就是对访问资源管理,看你是否有权限进行访问。访问资源通常是我们后端定义的url。我们对访问资源定义好权限后,用户进行登录后,访问其它url,这个时候,需要判断用户携带的权限和url定义的权限是否匹配,如果匹配,就允许访问,否则提示权限不足。在SpringSecurity中授权主要通过最后一个过滤器FilterSecurityIntercepter来处理。

在这里插入图片描述

省略了其它不重要的过滤器

1. 授权的流程

在这里插入图片描述

  • FilterSecurityInterceptor:授权过滤器,即对访问资源进行拦截,然后调用其它接口进行授权处理

    //该类定义的源码信息
public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
    private static final String FILTER_APPLIED = "__spring_security_filterSecurityInterceptor_filterApplied";
    private FilterInvocationSecurityMetadataSource securityMetadataSource;
    private boolean observeOncePerRequest = true;
  
     public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if (fi.getRequest() != null && fi.getRequest().getAttribute("__spring_security_filterSecurityInterceptor_filterApplied") != null && this.observeOncePerRequest) {
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            if (fi.getRequest() != null && this.observeOncePerRequest) {
                fi.getRequest().setAttribute("__spring_security_filterSecurityInterceptor_filterApplied", Boolean.TRUE);
            }

            InterceptorStatusToken token = super.beforeInvocation(fi);

            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                //调用了父类的方法
                super.finallyInvocation(token);
            }

            super.afterInvocation(token, (Object)null);
        }

    }
}

  • SecurityMetadataSource: 安全数据源的接口可以理解为是一种安全对象的概念模型。即我们访问的资源(url),可以抽象成一个带有权限的对象,而这个接口就是用来设置安全的对象的权限信息。该类的继承关系如下:

    在这里插入图片描述

    Spring SecuritySecurityMetadataSource提供了两个子接口 :

    • MethodSecurityMetadataSource:
      由Spring Security Core定义,用于表示安全对象是方法调用(MethodInvocation)的安全元数据源。

    • FilterInvocationSecurityMetadataSource:
      由Spring Security Web定义,用于表示安全对象是Web请求(FilterInvocation)的安全元数据源。通常使用此对象获取请求资源的。通常通过实现此接口,来保存数据库中查询的角色信息,来表示权限

    //该接口方法的定义
public interface SecurityMetadataSource extends AopInfrastructureBean {
	// ~ Methods
	// =====================================================================
	/**
	 *获取某个受保护的安全对象object的所需要的权限信息,是一组ConfigAttribute对象的集合,如果该安全对象object不被当前		SecurityMetadataSource对象支持,则抛出异常IllegalArgumentException。该方法通常配合
	 boolean supports(Class<?> clazz)一起使用,先使用boolean supports(Class<?> clazz)确保安全对象能被当前		  SecurityMetadataSource支持,然后再调用该方法。
	 */
	Collection<ConfigAttribute> getAttributes(Object object)
			throws IllegalArgumentException;

	/**
	 获取该SecurityMetadataSource对象中保存的针对所有安全对象的权限信息的集合。该方法的主要目的是被AbstractSecurityInterceptor用于启动时校验每个ConfigAttribute对象。
	 */
	Collection<ConfigAttribute> getAllConfigAttributes();

	/**
	 * 这里clazz表示安全对象的类型,该方法用于告知调用者当前SecurityMetadataSource是否支持此类安全对象,只有支持的时候,才能对这类安全对象调用getAttributes方法。
	 */
	boolean supports(Class<?> clazz);
}

    Object表示安全对象 :

    //获取访问的资源url
FilterInvocation filterInvocation = (FilterInvocation) o;
//获取请求url
String requestUrl = filterInvocation.getRequestUrl();

    Collection 保存安全对象的权限信息

    //将访问资源的权限保存
for (Menu menu : menusWithRole) {
            if (antPathMatcher.match(menu.getUrl(),requestUrl)){
                //讲角色的英文名 ROLE_*  保存到集合里面
                String[] roleArr = menu.getRoles().stream().map(Role::getName).toArray(String[]::new);
                return SecurityConfig.createList(roleArr);
            }
        }

  • AccessDisisionManager: 决策管理器,决定当前对象对访问资源到底有没有权限。在其实习类中,Spring Security引入了投票器的概念,真正的授权功能是通过一组AccessDecisionVoter来实现的。
    AccessDecisionManager维护着一个AccessDecisionVoter列表参与授权的投票。根据处理投票的策略不同
    Spring SecurityAccessDecisionManager有3个不同的实现。

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-s4RfcRl4-1667285364067)(Springsecurity的授权流程.assets/image-20221101140518484.png)]

  • 此接口的继承关系如下:

在这里插入图片描述

  • 子类的说明:

    • AffirmativeBased: 只要有一个投票器投票通过,就允许访问资源。
    • ConsensusBased: 超过一半的投票器通过才允许访问资源。
    • UnanimousBased: 所有投票器都通过才允许访问资源。

  • 投票者:

RoleVoterSpring Security内置的一个AccessDecisionVoter,其会将ConfigAttribute简单的看作是一个角色名称,在投票的时如果拥有该角色即投赞成票。如果ConfigAttribute是以“ROLE_”开头的,则将使用RoleVoter进行投票。当用户拥有的权限中有一个或多个能匹配受保护对象配置的以“ROLE_”开头的ConfigAttribute时其将投赞成票;如果用户拥有的权限中没有一个能匹配受保护对象配置的以“ROLE_”开头的ConfigAttribute,则RoleVoter将投反对票;如果受保护对象配置的ConfigAttribute中没有以ROLE_开头的,则RoleVoter将弃权。

2. 授权的使用

2.1 资源权限的配置

思路:每次请求一个url,将所有的菜单权限信息查询出来。判断菜单里面的url和请求的url是否匹配,如果匹配,将菜单的角色保存ConfigAttribute

菜单表:

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-h7gX9Yz0-1667285364080)(Springsecurity的授权流程.assets/image-20221101142247919.png)]

菜单类:

public class Menu implements Serializable {
    /**
     * id
     */
    @ApiModelProperty("id")
    @TableId(type = IdType.AUTO)
    private Integer id;

    /**
     * 访问的url
     */
    @ApiModelProperty(" url")
    private String url;

    */
	/* 
	 * 当前url的权限
	 */
    @ApiModelProperty("角色列表")
    @TableField(exist = false) //声明表字段不存在,否则可能会报错
    private List<Role> roles;

    @TableField(exist = false)
    private static final long serialVersionUID = 1L;

自己定义一个类实现FilterInvocationSecurityMetadataSource接口。

/**
 * 根据url获取对应的角色,并保存
 * FilterInvocationSecurityMetadataSource
 * 该类的主要功能就是通过当前的请求地址,获取该地址需要的用户角色。
 */
@Component
public class CustomeFilter implements FilterInvocationSecurityMetadataSource {
    @Autowired
    private MenuService menuService;
    // 声明一个ant路径匹配器
    private AntPathMatcher antPathMatcher=new AntPathMatcher();
    @Override
    public Collection<ConfigAttribute> getAttributes(Object o) throws IllegalArgumentException {
        FilterInvocation filterInvocation = (FilterInvocation) o;
        //获取请求url
        String requestUrl = filterInvocation.getRequestUrl();
        //获取所有的菜单 
        List<Menu> menusWithRole = menuService.getAllMenusWithRole();
        //获取匹配路径对应角色
        for (Menu menu : menusWithRole) {
            if (antPathMatcher.match(menu.getUrl(),requestUrl)){
                //将角色的英文名 ROLE_*  保存到集合里面
                String[] roleArr = menu.getRoles().stream().map(Role::getName).toArray(String[]::new);
                return SecurityConfig.createList(roleArr);
            }
        }
        //没有匹配的默认登录即可
        return SecurityConfig.createList("ROLE_LOGIN");
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;  //支持当前对象
    }
}
2.2 登录用户的权限配置

用户对象:

@TableName(value ="t_admin")

public class Admin implements Serializable, UserDetails {
    /**
     * id
     */
    @TableId(type = IdType.AUTO)
    private Integer id;
	
     /**
     * 用户的权限
     * @return
     */
    @TableField(exist = false)
    private List<Role> roles;
	//==========================当前对象所具备的权限===================================
    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        //将角色名转成SimpleGrantedAuthority对象放入集合中
        List<SimpleGrantedAuthority> roleList = roles.stream()
                .map(role -> new SimpleGrantedAuthority(role.getName()))
                .collect(Collectors.toList());
        return roleList;
    }
    //===============================================================

    //省略其它不必要属性
    // ...

}

用户认证处理:

@Service
public class UserDetailServiceImpl implements UserDetailsService {
    @Autowired
    private AdminMapper adminMapper;
    @Autowired
    private RoleMapper roleMapper;
    @Override
    public UserDetails loadUserByUsername(String s) throws UsernameNotFoundException {
        LambdaQueryWrapper<Admin> queryWrapper=new LambdaQueryWrapper<>();
        queryWrapper.eq(Admin::getUsername,s);
        queryWrapper.eq(Admin::getEnabled,1);
        Admin admin = adminMapper.selectOne(queryWrapper);
        //设置权限
        if (admin!=null){
            admin.setRoles(roleMapper.getRoles(admin.getId()));
        }
        return admin;
    }
}
2.3 授权决策

思路:访问资源的权限有了,当前用户的权限有了,然后进行匹配,就可以知道当前用户到底有没有权限访问这个资源了。

自己定义一个类实现AccessDecisionManager接口,重写其方法,按照自己的业务需求进行权限判断。

/**
 * 判断url的角色和用户的角色是否匹配\
 * 对访问的资源进行授权,决策。要求资源必须配置
 * 对一次访问授权,需要传入三个信息。
 * (1)认证过的Authentication,确定了谁正在访问资源。
 * (2)被访问的资源object。
 * (3)访问资源要求的权限配置ConfigAttribute。
 */
@Component
public class CusteomUrlDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //获取当前url的角色
        for (ConfigAttribute configAttribute : collection) {
            // roleConfig为SecurityConfig配置的角色
            String roleConfig = configAttribute.getAttribute();
            //判断是否登录角色
            if ("ROLE_LOGIN".equals(roleConfig)) {
                //判断是否登录
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登录,请登录");
                } else {
                    return;
                }

            } else {
                //获取用户角色
                Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
                for (GrantedAuthority authority : authorities) {
                    if (authority.getAuthority().equals(roleConfig)) {
                        return;
                    }
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员");
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}
2.4 注册自定义的实现类

自定义的资源权限配置,决策管理器需要注册到SpringSecurity中,才可以生效。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    //密码加密工具
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    //jwt过滤器
    @Autowired
    public JwtTokenFilter jwtTokenFilter;
    //失败处理
    @Autowired
    private RestAccessDenyHandler restAccessDenyHandler;
    @Autowired
    private RestAuthenticationEntryPoint authenticationEntryPoint;
    //注入自定义实现类
    @Autowired
    private CustomeFilter customeFilter;
    @Autowired
    private CusteomUrlDecisionManager custeomUrlDecisionManager;
	/*
	 *访问资源放行配置
	 */
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring()   //swagger+登录 允许
                .antMatchers(
                        "/login",
                        "/logout",
                        "/css/**",
                        "/js/**",
                        "/index.html",
                        "/favicon.ico",
                        "/doc.html",
                        "/webjars/**",
                        "/swagger-resources/**",
                        "/v2/api-docs/**",
                        "/kaptcha"
                );
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        //授权管理
        http.authorizeRequests()
                .anyRequest().authenticated()
                //===========设置动态权限决策 FilterSecurityInterceptor是授权管理器==========
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O object) {
                        //=======================设置自定义实习类=======================
                        object.setAccessDecisionManager(custeomUrlDecisionManager);
                        object.setSecurityMetadataSource(customeFilter);
                        return object;
                    }
                });

        //关闭csrf  使用jwt,不需要csrf_token进行安全保护
        http.csrf()
                .disable()
        //基于token,不需要session
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //添加jwt 登录授权过滤器
        http.addFilterBefore(jwtTokenFilter, UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录结果返回
        http.exceptionHandling()
                .accessDeniedHandler(restAccessDenyHandler)
                .authenticationEntryPoint(authenticationEntryPoint);
    }

}

说明:
在这里插入图片描述

米 柴
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1940
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权流程是这样的:(网上找的图)......
Spring security认证授权
11-30
Spring security认证授权例子,自动创建数据库,在SysUser类增加字段,即可动态增加数据库对应表sys_user字段(前提是要删除原表,启动应用时才会重建表)
(新)Spring Security如何实现授权(实战篇)
最新发布
weixin_55772633的博客
06-23 1100
例如一个学校图书馆的管理系统,如果是普通学生登录就能看到借书还书相关的功能,不可能让他看到并且去使用添加书籍信息,删除书籍信息等功能。但是如果是一个图书馆管理员的账号登录了,应该就能看到并使用添加书籍信息,删除书籍信息等功能。总结起来就是。这就是权限系统要去实现的效果。我们不能只依赖前端去判断用户的权限来选择显示哪些菜单哪些按钮。因为如果只是这样,如果有人知道了对应功能的接口地址就可以不通过前端,直接去发送请求来实现相关功能操作。
SpringSecurity | 源码分析篇 (二) 授权过程
Coder编程的博客
01-30 572
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为
springsecurity最基础的授权过程
please93的博客
02-17 215
springsecurity最基础的授权过程
Spring security授权过程
weixin_42588555的博客
02-14 270
Spring Security 授权过程包括以下步骤: 身份验证:验证用户是否已经登录,并且提供了有效的凭证。 授权决策:确定用户是否具有执行某个操作的权限。 访问控制:根据授权决策的结果,允许或拒绝用户的请求。 在这个过程中,Spring Security 会使用各种不同的技术,包括身份验证机制(如基于用户名和密码的身份验证)、访问控制策略(如基于角色的访问控制)等。 ...
SpringSecurity授权基本流程
qq_44760653的博客
04-10 1844
SpringSecurity授权基本流程
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
SpringSecurity认证流程详解
08-27
SpringSecurity 认证流程SpringSecurity 框架中最核心的部分,它负责处理用户的认证和授权工作。在本文中,我们将详细介绍 SpringSecurity 认证流程的原理和实现机制。 SpringSecurity 基本原理 ---------------...
详解Spring Security认证流程
08-25
Spring SecurityJava世界中最流行的安全框架之一,主要提供身份验证、授权和加密等安全功能。其中,身份验证是Spring Security的核心功能之一,本文将详细介绍Spring Security的认证流程。 一、过滤器链和认证...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
SpringSecurity(三)授权流程
业精于勤,荒于嬉
07-02 260
授权流程 1、拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中(实现类为DefaultSecurityFilterChain)的 FilterSecurityInterceptor 的子类拦截。 FilterSecurityInterceptor: public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOExcept
3.spring security授权流程
weixin_45974277的博客
02-26 3759
Spring Security授权流程如下: 分析授权流程: 1. 拦截请求,已认证用户访问受保护的web资源将被SecurityFilterChain中的 FilterSecurityInterceptor 的子类拦截。 2. 获取资源访问策略,FilterSecurityInterceptor会从 SecurityMetadataSource 的子类 DefaultFilterInvocationSecurityMetadataSource 获取要访问当前资源所需要的权限 Collection.
SpringSecurity授权
小钟不想敲代码
05-28 5497
SpringSecurity授权
Spring SecuritySpring Boot结合的认证授权机制流程(二)
Ammiya-ff的博客
05-08 1643
接着上一篇博客继续说明Spring SecuritySpring Boot结合后的认证授权使用
SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 416
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析,SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
SpringSecurity授权
Littewood的博客
07-24 3394
SpringSecurity授权介绍
spring security认证授权流程
weixin_47618391的博客
05-27 5380
在上面的示例代码中,我们实现了UserDetails接口,并指定了用户的角色和密码等详细信息。认证和授权是任何安全体系中的两个主要功能,而在现代Web开发中,Spring Security是最受欢迎和广泛使用的安全框架之一。在本篇文章中,我们将全面介绍Spring Security的认证和授权机制,并提供详细的步骤和示例代码。认证令牌是Spring Security中的核心概念,它包含有关用户身份的信息。用户在认证成功后,Spring Security将使用保存的认证令牌来确定用户是否有权访问特定的资源。
springsecurity 授权流程
08-20
Spring Security 授权流程通常涉及以下步骤: 1. 用户登录:用户通过表单、OAuth2 或其他方式进行身份验证,获取访问令牌。 2. 认证:Spring Security 使用令牌验证用户身份,并将用户信息保存在安全上下文中。 3. 授权请求:用户发送带有访问令牌的请求到受保护的资源服务器。 4. 访问决策:Spring Security 根据用户的角色和权限决定是否允许访问资源。 5. 授权处理:如果用户被授予访问资源的权限,Spring Security 将允许请求通过,并返回所请求的资源。 6. 安全注解:使用安全注解(如 @PreAuthorize、@PostAuthorize)在方法级别进行细粒度的授权控制。 在实现这些步骤时,通常需要配置以下组件: 1. 用户认证配置:配置认证管理器、用户详细信息服务和密码编码器,用于验证用户的凭据。 2. 授权配置:配置访问决策管理器、资源服务器和授权表达式处理程序,用于定义角色和权限的授权规则。 3. 安全注解配置:启用方法级别的安全注解,并根据需要配置注解的具体行为。 这些步骤和组件的具体配置可以根据应用程序的需求进行调整和扩展。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值