使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴权

最新推荐文章于 2024-07-12 15:53:15 发布
最新推荐文章于 2024-07-12 15:53:15 发布
阅读量1k 收藏 12
点赞数 29
文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48995978/article/details/138486667
版权
本文详细介绍了如何在SpringSecurity中使用AccessDecisionManager和自定义AccessDecisionVoter实现动态路由鉴权,涉及IP白名单/黑名单、请求头验证以及Redis作为配置存储和缓存机制。
摘要由CSDN通过智能技术生成

项目中有一批提供给另外的应用调用的开放接口,起初只是简单的对接口放行,任意的应用和接口调用工具都能进行调用。由于考虑安全的原因,需要优化成,动态的自定义的对接口进行IP白名单和黑名单限制,或者接口需要指定的请求头才能访问。

一、AccessDecisionManager是什么?

顾名思义,我们可以把它理解为访问决策管理器,这个接口非常简单,里面只定义了三个方法,我们只需要关注decide方法,如果decide抛出了AccessDeniedException异常则拒绝接口访问

public interface AccessDecisionManager {

	void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)
			throws AccessDeniedException, InsufficientAuthenticationException;

	boolean supports(ConfigAttribute attribute);

	boolean supports(Class<?> clazz);
}

AccessDecisionManager接口由AbstractAccessDecisionManager抽象类来实现,但是decide、supports方法并不在该抽象类里实现,而是由继承了AbstractAccessDecisionManager抽象类的AffirmativeBasedConsensusBasedUnanimousBased来实现。这三个具体的实现类的区别就是具体拒绝策略不同,直接看源码就很直观,或者参考这篇文章三个授权决策的区别。其中AbstractAccessDecisionManager抽象类里维护着一个AccessDecisionVoter的实现类数组。部分代码如下

public abstract class AbstractAccessDecisionManager
		implements AccessDecisionManager, InitializingBean, MessageSourceAware {

	private List<AccessDecisionVoter<?>> decisionVoters;

	protected AbstractAccessDecisionManager(List<AccessDecisionVoter<?>> decisionVoters) {
		Assert.notEmpty(decisionVoters, "A list of AccessDecisionVoters is required");
		this.decisionVoters = decisionVoters;
	}
}

而我们需要真正去实现自定义路由鉴权的就是实现AccessDecisionVoter接口。然而AccessDecisionVoter接口也非常简单

public interface AccessDecisionVoter<S> {

	int ACCESS_GRANTED = 1;

	int ACCESS_ABSTAIN = 0;

	int ACCESS_DENIED = -1;

	boolean supports(ConfigAttribute attribute);

	int vote(Authentication authentication, S object, Collection<ConfigAttribute> attributes);

}

可见,接口中的三个静态变量分别表示已授权弃权拒绝。然后在自定义的AccessDecisionVoter实现类中,重写vote方法,根据自定义的权限返回对应的静态常量即可。

二、自定义动态路由鉴权代码实现

  1. 首先为了能在不重启项目就能做到动态自定义配置路由权限,需要将配置写在数据库,然后利用Redis缓存路由配置。这样每次请求就在Redis读取配置信息,然后根据配置信息校验请求的权限。
    数据库表如下图所示
    开放接口权限配置表设计
    建表语句如下:
CREATE TABLE `your_table_name` (
  `id` int NOT NULL AUTO_INCREMENT COMMENT '主键',
  `path` varchar(255) DEFAULT NULL COMMENT '访问路径',
  `ip_whitelist` varchar(1024) DEFAULT NULL COMMENT 'ip白名单 多个ip则使用逗号分隔',
  `ip_blacklist` varchar(1024) DEFAULT NULL COMMENT 'ip黑名单 多个ip则使用逗号分隔',
  `request_method` varchar(255) DEFAULT NULL COMMENT '请求方式',
  `header_key` varchar(255) CHARACTER SET utf8mb4 COLLATE utf8mb4_0900_ai_ci DEFAULT NULL COMMENT '指定请求头的key',
  `header_value` varchar(255) DEFAULT NULL COMMENT '指定请求头的value',
  `include_whitelist` tinyint(1) DEFAULT '0' COMMENT '收录白名单ip开关 0-关,1-开 用作收录初始白名单,不建议长时间开启 ',
  `status` tinyint(1) DEFAULT '1' COMMENT '状态 0-关 1-开 关闭时该配置不生效',
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=6 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
  1. 在项目中找到spring security配置或者新建配置,如下
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Autowired
    private RoutingSecurityHandler routingSecurityHandler;
	
	@Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
    	// 自定义动态配置开放接口权限
    	httpSecurity.accessDecisionManager(accessDecisionManager())
    	// 这里必定还有其他配置 只是不在本章讨论中,不展示无关本章配置
    	// ...
    }

	    @Bean
    public AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<?>> decisionVoters
                = Arrays.asList(
                //自定义动态路由控制,
                new AnonymousAccessVoter(routingSecurityHandler),
                new WebExpressionVoter(),//这个是spring security自带的投票器
                new AuthenticatedVoter()//这个是spring security自带的投票器
        );
        return new AffirmativeBased(decisionVoters);
    }
}
  1. 重中之重的实现就是这里的实现。实现AnonymousAccessVoter
public class AnonymousAccessVoter implements AccessDecisionVoter<Object> {

    private final RoutingSecurityHandler routingSecurityHandler;

    public AnonymousAccessVoter(RoutingSecurityHandler routingSecurityHandler) {
        this.routingSecurityHandler = routingSecurityHandler;
    }


    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    /**
     * 1.获取需要校验的路径(开放接口、自定义配置接口)
     * 2.判断请求路径是否在需要自定义校验的路径中
     * 3.根据情况投票
     * 3.1需要自定义校验但不符合条件 则抛异常拒绝访问
     * 3.2需要自定义校验且符合条件,则投通过票
     * 3.3不需要自定义校验,则投弃权票,则走正常的Authentication认证和WebExpressionVoter认证
     */
    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        if (authentication == null) {
            return ACCESS_DENIED;
        }
        //自定义鉴权主要的实现
        int vote = routingSecurityHandler.verifyRouting();
        if (vote == 1) {
            return ACCESS_GRANTED;
        } else if (vote == -1) {
            throw new AccessDeniedException("该请求无权限,拒绝访问");
        }
        return ACCESS_ABSTAIN;
    }

    @Override
    public boolean supports(Class clazz) {
        return true;
    }
}

然而具体的实现在 int vote = routingSecurityHandler.verifyRouting();这一行代码

@Component
public class RoutingSecurityHandler {

    private final SysSecurityConfigService sysSecurityConfigService;

    private final RedisCache redisCache;

    private final ThreadPoolTaskExecutor threadPoolTaskExecutor;

    private final AntPathMatcher antPathMatcher;

    public RoutingSecurityHandler(SysSecurityConfigService sysSecurityConfigService, RedisCache redisCache, ThreadPoolTaskExecutor threadPoolTaskExecutor) {
        this.sysSecurityConfigService = sysSecurityConfigService;
        this.redisCache = redisCache;
        this.threadPoolTaskExecutor = threadPoolTaskExecutor;
        antPathMatcher = new AntPathMatcher();
    }

    /**
     * 开放接口动态自定义鉴权主要实现
     * 1. 从缓存获取自定义路由列表
     * 2. 判断请求路径是否需要自定义鉴权
     * 3. 判断需要自定义鉴权的路由是否满足权限要求
     * 4. 根据权限返回投票
     * @return 1、赞成票 -1、反对票 0、弃权票
     */
    public int verifyRouting() {
        ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
        if (sra == null) {
            return 0;
        }
        HttpServletRequest request = sra.getRequest();
        String ip = IpUtils.getIpAddr(request);
        String method = request.getMethod();
        String uri = request.getRequestURI();
        // 1. 从缓存获取自定义路由列表
        SysSecurityConfig securityConfig = null;
        List<SysSecurityConfig> routingList = getRoutingList();
        // 2. 判断请求路径是否需要自定义鉴权
        for (SysSecurityConfig sysSecurityConfig : routingList) {
            if (antPathMatcher.match(sysSecurityConfig.getPath(), uri)) {
                securityConfig = sysSecurityConfig;
                break;
            }
        }
        //需要自定义鉴权则判断是否满足权限
        if (securityConfig != null) {

            // 如果自定义路径 开启初始化白名单 则默认所有请求都返回赞成票并且把IP加入到白名单
            if (securityConfig.getIncludeWhitelist() == 1) {
                Integer id = securityConfig.getId();
                threadPoolTaskExecutor.execute(() -> sysSecurityConfigService.updateSecurityConfig(id, ip, method));
                return 1;
            }
            // 请求IP若在黑名单中,则返回反对票
            List<String> list;
            if (!CollectionUtils.isEmpty((list = securityConfig.getIpBlacklist()))) {
                for (String blacklistIp : list) {
                    if (ip.matches(blacklistIp)) {
                        return -1;
                    }
                }
            }
            // 若请求方式不满足权限,则返回反对票
            if (StringUtils.isNotEmpty(securityConfig.getRequestMethod())
                    && !method.equalsIgnoreCase(securityConfig.getRequestMethod())) {
                return -1;
            }
            // 判断请求头是否满足权限,返回相应投票
            if (StringUtils.isNotEmpty(securityConfig.getHeaderKey())) {
                String headerValue = request.getHeader(securityConfig.getHeaderKey());
                if (StringUtils.isEmpty(headerValue) || !headerValue.equals(securityConfig.getHeaderValue())) {
                    return -1;
                } else {
                    return 1;
                }
            }
            // 若请求IP在白名单中,则返回赞成票
            if (!CollectionUtils.isEmpty((list = securityConfig.getIpWhitelist()))) {
                for (String whitelistIp : list) {
                    if (ip.matches(whitelistIp)) {
                        return 1;
                    }
                }
            }
        }


        // 不需要鉴权,则投弃权票
        return 0;
    }


    /**
     * 从redis获取路由列表,3分钟刷新一次缓存
     * 从数据库加载路由表同时将路径、白名单、黑名单根据通配符替换成正则的pattern
     */
    private List<SysSecurityConfig> getRoutingList() {
        List<SysSecurityConfig> sysSecurityConfigList = redisCache.getCacheList(Constants.SYS_SECURITY_CONFIG);
        if (CollectionUtils.isEmpty(sysSecurityConfigList)) {
            // 从数据库加载自定义鉴权的路由表
            LambdaQueryWrapper<SysSecurityConfig> lqw = Wrappers.lambdaQuery();
            lqw.eq(SysSecurityConfig::getStatus, 1);
            lqw.isNotNull(SysSecurityConfig::getPath);
            sysSecurityConfigList = sysSecurityConfigService.list(lqw);
            List<String> list;
            for (SysSecurityConfig securityConfig : sysSecurityConfigList) {
                // 白名单根据通配符替换成正则的pattern
                if (!CollectionUtils.isEmpty((list = securityConfig.getIpWhitelist()))) {
                    for (int i = 0; i < list.size(); i++) {
                        list.set(i, list.get(i).replaceAll("\\*", "[0-9]+").replaceAll("\\.", "\\\\."));
                    }
                }
                // 将黑名单根据通配符替换成正则的pattern
                if (!CollectionUtils.isEmpty((list = securityConfig.getIpBlacklist()))) {
                    for (int i = 0; i < list.size(); i++) {
                        list.set(i, list.get(i).replaceAll("\\*", "[0-9]+").replaceAll("\\.", "\\\\."));
                    }
                }
            }
            redisCache.setCacheList(Constants.SYS_SECURITY_CONFIG, sysSecurityConfigList);
            redisCache.expire(Constants.SYS_SECURITY_CONFIG, 180, TimeUnit.SECONDS);
        }
        return sysSecurityConfigList;
    }
}

总结

  1. 使用AccessDecisionManager实现HttpSecurity的自定义动态路由鉴的主要思路是利用投票机制进行鉴权。即通过自定义实现的AnonymousAccessVoter来鉴权投票,从Redis中读取到的路由权限表配置,进行逻辑判断请求是否符合配置权限要求,从而投出相对应的投票,如果请求是开放的接口,且不符合权限要求直接抛出AccessDeniedException异常即可,若符合权限要求则投已认证票,如果请求不是开放的接口,则投出弃权票,由其他AccessDecisionVoter来投票。
  2. 如果AnonymousAccessVoter投出了弃权票,相当于该请求不在管辖范围不参与投票,则由其他投票器投票。
  3. 所有的AccessDecisionVoter投票器投出的票由AccessDecisionManager来管理,其中本章示例所使用的访问决策管理器为AffirmativeBased。即只要有一个投票器投了已认证票则本次请求被视为认证通过,正常访问接口。
倒霉蛋糕
关注
  • 29
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
spring security中动态更新用户的权限
huan的学习记录
02-22 9745
在程序的执行过程中,有时有这么一种需求,需要动态的更新某些角色的权限或某些人对应的权限,当前在线的用户拥有这个角色或拥有这个权限时,在不退出系统的情况下,需要动态的改变的他所拥有的权限。 需求:张三 登录了系统拥有 ROLE_ADMIN,和ROLE_USER 的权限,但是ROLE_ADMIN的权限太强了,不应该给张三,后台管理人员应该可以取消张三的ROLE_ADMIN的权限,那么在张三...
spring security http接口鉴权使用示范项目
03-01
在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security实现HTTP接口的鉴权功能。这个项目旨在提供一个实践示例,帮助开发者理解并掌握Spring Security的核心概念和配置。...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
热门推荐
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
史上最简单的Spring Security教程(二十三):自定义AccessDecisionManager实现类选举法的访问决策
银河架构师的博客
08-24 1515
​前面讲过Spring Security框架实现的一个AccessDecisionManager,是少数服从多数的授权访问决策。但是,在具体业务场景中,可能还会遇到类似于选举法的授权场景,即少数服从多数且超过半数同意。那么,本次便参考此授权决策方案,自定义一个AccessDecisionManager。 由于核心授权逻辑还是少数服从多数,所以我们部分参考一下ConsensusBased的授权决策逻辑。 public void decide(Authentication authent...
史上最简单的Spring Security教程(二十二):自定义AccessDecisionManager实现简单的访问决策
银河架构师的博客
08-19 1965
​在前面讲过的资源权限动态控制业务场景中,我们使用Spring Security 框架默认的 AccessDecisionManager,即 AffirmativeBased。能实现的访问决策即为任一AccessDecisionVoter授予权限,即代表授予访问权限。但是我们只添加了一个AccessDecisionVoter,即RoleVoter。 既然如此,我们就可以简化一下这些逻辑,直接自定义一个新的 AccessDecisionManager,其决策逻辑为:当前请求所需的所有 ...
SpringSecurity后端访问权限和页面访问权限的动态设置
qq_45786340的博客
05-11 777
创建自定义过滤器调用安全性元数据类,实现FilterInvocationSecurityMetadataSource 接口 @Component public class CustomFilterInvocationSecurityMetadata implements FilterInvocationSecurityMetadataSource { @Autowired MenuServiceImpl menuService; AntPathMatcher antPathMatch
spring security自定义决策管理器
08-29
Spring Security 提供了一种自定义决策管理器的机制,允许开发者根据自己的需求实现自定义的决策逻辑。在 Spring Security 中,决策管理器是指 AccessDecisionManager 接口的实现类,它们负责对用户的访问请求进行...
spring security动态配置url权限的2种实现方法
08-27
在`WebSecurityConfigurerAdapter`的`configure(HttpSecurity http)`方法中,将自定义的`AccessDecisionManager`和`AccessDecisionVoter`注入到Spring Security配置中。 ```java @Override protected void ...
spring security 实现动态权限和短信验证码登录
07-23
此外,我们可以使用`AccessDecisionManager`和`AccessDecisionVoter`来决定是否允许访问某个资源,这些组件可以根据用户的角色和权限动态地做出决策。 短信验证码登录是增强安全性的常见手段,防止恶意登录。在...
java自定义Spring Security权限控制管理示例(实战篇)
08-31
4. 实现`WebSecurityConfigurerAdapter`的子类,覆盖`configure(HttpSecurity http)`方法,配置自定义的`SecurityMetadataSource`和`AccessDecisionManager`。 5. 在`WebSecurityConfigurerAdapter`的子类中,使用`...
Spring security修改默认http请求认证的两种方式
大梦的博客
06-18 879
题记:在引如spring Security 后,没有任何配置Spring boot项目启动后会有一个默认的运行状态,要求在经过http基本认证后才能访问对应的url资源,默认用户名为user,密码在项目启动时控制台打印 禁用安全设置或者设置对应的用户和密码: 1)可以在application.properteis中配置对应的用户和密码 也可以设置对应的用户名和密码 spring.security.user.name=user1 spring.security.user.password=passwor
SpringsecurityAccessDecisionManager
weixin_34248487的博客
09-06 1701
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security 资源判断时不执行自定义AccessDecisionManager
在路上的小马达
09-02 9537
弄这个框架的时候,因为这个问题困扰了很久,一直显示无法进入AccessDecisionManager内,导致资源请求无法进行有效拦截,资料找了很久也并未找到合理解决方案,表示当时就脑子不够用,及看不懂源码,又不懂原理,搭建都是靠人家的教程,一开始也看到了一篇类似的博文,但没太在意,事实证明也正是因为那个原因导致, 博文内容如下:       原文地址:http://blog.163.com/
spring security 实现自定义url鉴权
骆佳威的博客
03-11 2287
package com.liuyanzhao.sens.config.security; import com.liuyanzhao.sens.common.utils.SecurityUtil; import com.liuyanzhao.sens.config.security.jwt.AuthenticationFailHandler; import com.liuyanzhao.sens....
Spring Security的Filter
weixin_44263023的博客
07-08 695
如果你需要实现一些 Spring Security 没有提供的特定安全功能,你可以通过实现 javax.servlet.Filter 接口来创建自定义的过滤器,并使用 Spring Security 的 FilterRegistrationBean 或通过 Spring Security配置类将其添加到过滤器链中。
springboot的mybatis使用CONCAT模糊查询
最新发布
qq_61950936的博客
07-12 61
在mysql中like 可以直接使用字符串拼接,在xml中需要使用CONCAT来连接变量。
Spring常见的自定义和扩展的方法
Casual_Lei的博客
07-12 120
通过类和@Bean方法,自定义Bean的创建过程。@Bean使用Spring AOP(Aspect-Oriented Programming)自定义注解和拦截方法调用。通过实现接口,在Bean的初始化前后添加自定义逻辑。@Component@Override@Override通过实现接口,可以在Bean定义加载后但在Bean实例化前修改Bean定义。@Component@Override通过实现接口,监听Spring应用上下文事件。
Spring Security的动态url鉴权具体代码实现
04-07
很高兴回答你的问题。Spring Security的动态url鉴权具体代码实现,一般可以通过自定义AccessDecisionManager和FilterInvocationSecurityMetadataSource来实现。具体的实现过程可以参考Spring Security官方文档或者相关的教程。如果您需要更详细的解答,请提供更具体的问题或者需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值