Spring Security学习(三)授权管理器

最新推荐文章于 2024-05-17 08:29:31 发布
最新推荐文章于 2024-05-17 08:29:31 发布
阅读量972 收藏 2
点赞数
分类专栏: spring security spring java 文章标签: java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wf3155/article/details/104882007
版权
java 同时被 3 个专栏收录
22 篇文章 0 订阅
订阅专栏
spring security
4 篇文章 0 订阅
订阅专栏
spring
3 篇文章 0 订阅
订阅专栏

第一篇的授权部分,有分析到

授权主要由AbstractSecurityInterceptor及其子类完成

具体到实际代码中其实是

			// 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查
			this.accessDecisionManager.decide(authenticated, object, attributes);

AccessDecisionManager

AccessDecisionManager 是一个决策管理器接口,主要有下面三个方法:

void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,
			InsufficientAuthenticationException;

该方法是投票过程, 有三个参数 :

  1. Authentication authentication代表访问者当事人,是访问者的认证令牌,包含了访问者的权限
  2. Object object表示目标安全对象
  3. Collection<ConfigAttribute> configAttributes表示访问目标安全对象所需要的权限
boolean supports(ConfigAttribute attribute);

该方法用于检测ConfigAttribute attribute是否是当前 AccessDecisionManager 支持的 ConfigAttribute 类型。

boolean supports(Class<?> clazz);

检测Class clazz是否是当前 AccessDecisionManager 支持的安全对象。

AccessDecisionManager 实现

Spring Security内置的 AccessDecisionManager 的实现是抽象类 AbstractAccessDecisionManager

public abstract class AbstractAccessDecisionManager implements AccessDecisionManager,
		InitializingBean, MessageSourceAware {
		
	protected final Log logger = LogFactory.getLog(getClass());

	// 通过这一组AccessDecisionVoter来投票表决完成授权
	private List<AccessDecisionVoter<?>> decisionVoters;

	protected MessageSourceAccessor messages = SpringSecurityMessageSource.getAccessor();

	private boolean allowIfAllAbstainDecisions = false;

	protected AbstractAccessDecisionManager(
			List<AccessDecisionVoter<?>> decisionVoters) {
		Assert.notEmpty(decisionVoters, "A list of AccessDecisionVoters is required");
		this.decisionVoters = decisionVoters;
	}
	
	public void afterPropertiesSet() {
		Assert.notEmpty(this.decisionVoters, "A list of AccessDecisionVoters is required");
		Assert.notNull(this.messages, "A message source must be set");
	}

	protected final void checkAllowIfAllAbstainDecisions() {
		if (!this.isAllowIfAllAbstainDecisions()) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
	}

	public List<AccessDecisionVoter<?>> getDecisionVoters() {
		return this.decisionVoters;
	}

	public boolean isAllowIfAllAbstainDecisions() {
		return allowIfAllAbstainDecisions;
	}

	public void setAllowIfAllAbstainDecisions(boolean allowIfAllAbstainDecisions) {
		this.allowIfAllAbstainDecisions = allowIfAllAbstainDecisions;
	}

	public void setMessageSource(MessageSource messageSource) {
		this.messages = new MessageSourceAccessor(messageSource);
	}

	public boolean supports(ConfigAttribute attribute) {
		for (AccessDecisionVoter voter : this.decisionVoters) {// 只要有一个匹配,返回true
			if (voter.supports(attribute)) {
				return true;
			}
		}

		return false;
	}
	
	public boolean supports(Class<?> clazz) {
		for (AccessDecisionVoter voter : this.decisionVoters) {// 只要有一个不匹配,返回false
			if (!voter.supports(clazz)) {
				return false;
			}
		}

		return true;
	}
}

如上述注释所说AbstractAccessDecisionManager通过一组AccessDecisionVoter来投票表决完成授权,具体实现放在其子类之中。

先简单介绍一下AccessDecisionVoter

AccessDecisionVoter是一个接口,返回结果只有三种:

拒绝 : ACCESS_DENIED
弃权 : ACCESS_ABSTAIN
允许 : ACCESS_GRANTED

AbstractAccessDecisionManager 有三个内置实现:

AffirmativeBased -----------一票通过制

public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int deny = 0;

		for (AccessDecisionVoter voter : getDecisionVoters()) {
			int result = voter.vote(authentication, object, configAttributes);

			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}

			switch (result) {
			// 允许访问
			case AccessDecisionVoter.ACCESS_GRANTED:
			// 方法直接结束
				return;

			// 拒绝访问
			case AccessDecisionVoter.ACCESS_DENIED:
				deny++;

				break;

			default:
				break;
			}
		}

		if (deny > 0) {
		// 全部拒绝抛出异常
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}

		// 所有投票器都弃权,根据属性allowIfAllAbstainDecisions进行处理
		checkAllowIfAllAbstainDecisions();
	}

ConsensusBased ----------少数服从多数制


public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int grant = 0;
		int deny = 0;

		for (AccessDecisionVoter voter : getDecisionVoters()) {
			int result = voter.vote(authentication, object, configAttributes);

			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}

			switch (result) {
			// 允许访问
			case AccessDecisionVoter.ACCESS_GRANTED:
				grant++;

				break;
			// 拒绝访问
			case AccessDecisionVoter.ACCESS_DENIED:
				deny++;

				break;

			default:
				break;
			}
		}

		// 允许的多于拒绝的,直接方法直接结束
		if (grant > deny) {
			return;
		}
		
		// 拒绝的对于允许的,则抛出无法访问的异常
		if (deny > grant) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
		// 遇到相等的情况则根据allowIfEqualGrantedDeniedDecisions 判断是允许还是拒绝
		if ((grant == deny) && (grant != 0)) {
			if (this.allowIfEqualGrantedDeniedDecisions) {
				return;
			}
			else {
				throw new AccessDeniedException(messages.getMessage(
						"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
			}
		}

		// 所有投票器都弃权,根据属性allowIfAllAbstainDecisions进行处理
		checkAllowIfAllAbstainDecisions();
	}

UnanimousBased ----------全票通过制


	public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> attributes) throws AccessDeniedException {

		int grant = 0;

		List<ConfigAttribute> singleAttributeList = new ArrayList<>(1);
		singleAttributeList.add(null);

		for (ConfigAttribute attribute : attributes) {
			singleAttributeList.set(0, attribute);

			for (AccessDecisionVoter voter : getDecisionVoters()) {
				int result = voter.vote(authentication, object, singleAttributeList);

				if (logger.isDebugEnabled()) {
					logger.debug("Voter: " + voter + ", returned: " + result);
				}

				switch (result) {
				// 允许,计数加一
				case AccessDecisionVoter.ACCESS_GRANTED:
					grant++;

					break;
				// 拒绝,则抛出拒绝访问的异常
				case AccessDecisionVoter.ACCESS_DENIED:
					throw new AccessDeniedException(messages.getMessage(
							"AbstractAccessDecisionManager.accessDenied",
							"Access is denied"));

				default:
					break;
				}
			}
		}

		// 方法执行到这则全部通过
		if (grant > 0) {
			return;
		}

		// To get this far, every AccessDecisionVoter abstained
		checkAllowIfAllAbstainDecisions();
	}

AccessDecisionVoter

通过上面的分析,得知AccessDecisionManager是通过AccessDecisionVoter投票来决定是否允许访问的,那么接下来就看看AccessDecisionVoter。

AccessDecisionVoter 是一个投票器接口定义了三个方法:


public interface AccessDecisionVoter<S> {

	int ACCESS_GRANTED = 1;
	int ACCESS_ABSTAIN = 0;
	int ACCESS_DENIED = -1;
	// 判断是否支持目标ConfigAttribute 
	boolean supports(ConfigAttribute attribute);
	// 判断是否支持目标class
	boolean supports(Class<?> clazz);
	// 投票
	int vote(Authentication authentication, S object,
			Collection<ConfigAttribute> attributes);
}

spring security 内置的voter 有:

名称支持Secure Object类型支持ConfigAttribute类型
WebExpressionVoterFilterInvocationweb表达式
Jsr250VoterMethodInvocationJsr250SecurityConfig
PreInvocationAuthorizationAdviceVoterObjectPreInvocationAttribute
AuthenticatedVoterObject可返回属于特定集合的字符串的ConfigAttribute
RoleVoterObject可返回带有特定前缀(缺省ROLE_)的字符串的ConfigAttribute

这里重点了解一下两种voter
RoleVoter与WebExpressionVoter

RoleVoter 将ConfigAttribute简单的看作是一个角色名称,在投票的时如果拥有该角色即投赞成票

public class RoleVoter implements AccessDecisionVoter<Object> {
	private String rolePrefix = "ROLE_";
	
	public String getRolePrefix() {
		return rolePrefix;
	}

	public void setRolePrefix(String rolePrefix) {
		this.rolePrefix = rolePrefix;
	}

	// 如果ConfigAttribute是以“ROLE_”开头的,则将使用RoleVoter进行投票
	public boolean supports(ConfigAttribute attribute) {
		if ((attribute.getAttribute() != null)
				&& attribute.getAttribute().startsWith(getRolePrefix())) {
			return true;
		}
		else {
			return false;
		}
	}

	public boolean supports(Class<?> clazz) {
		return true;
	}

	public int vote(Authentication authentication, Object object,
			Collection<ConfigAttribute> attributes) {
		if (authentication == null) {
		// 用户没通过认证,直接不允许访问
			return ACCESS_DENIED;
		}
		int result = ACCESS_ABSTAIN;
		// 获取用户全部权限
		Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

		for (ConfigAttribute attribute : attributes) {
			if (this.supports(attribute)) {
				result = ACCESS_DENIED;

				// Attempt to find a matching granted authority
				for (GrantedAuthority authority : authorities) {
					if (attribute.getAttribute().equals(authority.getAuthority())) {
					// 权限匹配,则允许访问
						return ACCESS_GRANTED;
					}
				}
			}
		}

		return result;
	}

	Collection<? extends GrantedAuthority> extractAuthorities(
			Authentication authentication) {
		return authentication.getAuthorities();
	}
}

WebExpressionVoter,表达式投票器用于对类似hasAnyRole('normal','admin')之类的表达式进行解析投票

public class WebExpressionVoter implements AccessDecisionVoter<FilterInvocation> {
	private SecurityExpressionHandler<FilterInvocation> expressionHandler = new DefaultWebSecurityExpressionHandler();

	public int vote(Authentication authentication, FilterInvocation fi,
			Collection<ConfigAttribute> attributes) {
		assert authentication != null;
		assert fi != null;
		assert attributes != null;
		// 获取表达式配置
		WebExpressionConfigAttribute weca = findConfigAttribute(attributes);

		if (weca == null) {
			// 没有相关配置则弃权
			return ACCESS_ABSTAIN;
		}
		// 创建上下文
		EvaluationContext ctx = expressionHandler.createEvaluationContext(authentication,
				fi);
		ctx = weca.postProcess(ctx, fi);
		// 执行表达式解析
		return ExpressionUtils.evaluateAsBoolean(weca.getAuthorizeExpression(), ctx) ? ACCESS_GRANTED
				: ACCESS_DENIED;
	}

	private WebExpressionConfigAttribute findConfigAttribute(
			Collection<ConfigAttribute> attributes) {
		for (ConfigAttribute attribute : attributes) {
			if (attribute instanceof WebExpressionConfigAttribute) {
				return (WebExpressionConfigAttribute) attribute;
			}
		}
		return null;
	}

	public boolean supports(ConfigAttribute attribute) {
		return attribute instanceof WebExpressionConfigAttribute;
	}

	public boolean supports(Class<?> clazz) {
		return FilterInvocation.class.isAssignableFrom(clazz);
	}

	public void setExpressionHandler(
			SecurityExpressionHandler<FilterInvocation> expressionHandler) {
		this.expressionHandler = expressionHandler;
	}
}

经过一轮调用最后反射到SecurityExpressionRoot 的 hasAnyAuthorityName 方法进行解析:

...
private boolean hasAnyAuthorityName(String prefix, String... roles) {
		// 获取权限列表
		Set<String> roleSet = getAuthoritySet();

		for (String role : roles) {
			// 匹配角色
			String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
			if (roleSet.contains(defaultedRole)) {
				return true;
			}
		}

		return false;
	}

...
private Set<String> getAuthoritySet() {
		if (roles == null) {
			Collection<? extends GrantedAuthority> userAuthorities = authentication
					.getAuthorities();

			if (roleHierarchy != null) {
				userAuthorities = roleHierarchy
						.getReachableGrantedAuthorities(userAuthorities);
			}

			roles = AuthorityUtils.authorityListToSet(userAuthorities);
		}

		return roles;
	}


...
private static String getRoleWithDefaultPrefix(String defaultRolePrefix, String role) {
		if (role == null) {
			return role;
		}
		if (defaultRolePrefix == null || defaultRolePrefix.length() == 0) {
			return role;
		}
		if (role.startsWith(defaultRolePrefix)) {
			return role;
		}
		return defaultRolePrefix + role;
	}
司马老峰
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security(05)授权配置授权流程分析
愤怒的菜鸟博客
03-09 4837
认证控制 springsecurity 的认证过程的处理是通过过滤进行拦截处理的,在请求前判断是否有具体的权限来做一些控制; 基本流程是通过过滤 拿到请求信息,交给访问决策管理(AccessDecisionManager) 判断是否有权限, 而 访问决策管理(AccessDecisionManager) 通过投票机制判断是否有权限,对应的实现类聚合了多个 AccessDecisionVoter (访问投票), 对于一个请求 所有的投票可以投出自己的一票 通过 ,拒绝 或弃权,根据投票的最终结果
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
java.lang.IllegalArgumentException: An AccessDecisionManager is required
qq_22094297的博客
08-02 2661
jdk,从1.8换成1.7完美解决。
Spring security(五)-完美权限管理系统(授权过程分析)
Ccww_的博客
10-04 1244
1. 权限管理相关概念   权限管理是一个几乎所有后台系统的都会涉及的一个重要组成部分,主要目的是对整个后台管理系统进行权限的控制。常见的基于角色的访问控制,其授权模型为“用户-角色-权限”,简明的说,一个用户拥有多个角色,一个角色拥有多个权限。其中, 用户: 不用多讲,大家也知道了; 角色: 一个集合的概念,角色管理是确定角色具备哪些权限的一个过程 ; 权限: 1).页面权限,控制你可以看到哪...
Spring Security 自定义授权服务实践
最新发布
2401_85015477的博客
05-17 781
❗ 在配置授权服务uri的时候,请勿依旧使用127.0.0.1,由于是在本地测试,授权服务的session和客户端的session会互相覆盖,导致莫名其妙的问题。这里我们要使用自己的搭建授权服务,需要自定义一个客户端,还是使用前面集成GitHub的示例,只要在配置文件中扩展就可以。如上是最小化授权服务的配置,这里我们将授权主体和客户端都存储在内存中,当然也可以持久化到数据库中,分别使用。(img-LeWEJC5t-1715905749295)]请区分回调地址,和授权服务端点uri的地址。
security授权-标签
背包客—的博客
01-18 419
使用时候必须先加上<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags" %>标签库,然后根据需求设置相应的权限(接上一篇文章的相关前置配置) <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib prefix="secur
Spring实战】----Security4.1.3鉴权之美--基于投票的AccessDecisionManager实现及源码分析
honghailiang的专栏
12-29 9207
一、背景知识 Spring实战篇系列----Security4.1.3认证过程源码分析 和Spring实战篇系列----Security4.1.3实现根据请求跳转不同登录页以及登录后根据权限跳转到不同页配置 中均有提到,每一次请求都会走Security Filter,鉴权的过滤为FilterSecurityInterceptor,其中会判断是否要对请求进行鉴权,以及需要鉴权的会基于投票的A
spring security 认证授权实现
10-14
**Spring Security 认证授权实现** Spring Security 是一个强大的、高度可配置的安全框架,用于Java应用程序,它提供了全面的身份验证和授权服务。在本项目中,我们关注的是如何利用Spring Security来实现用户认证...
全面解析Spring Security 过滤链的机制和特性
08-18
Spring Security 中,过滤链的机制可以分为两个部分:客户端(APP 和后台管理客户端)向应用程序发送请求,然后应用根据请求的 URI 的路径来确定该请求的过滤链(Filter)以及最终的具体 Servlet 控制...
spring security 学习使用的静态文件
05-10
Spring Security 是一个强大的安全框架,主要用于Java Web应用的安全管理,包括认证、授权和访问控制等。在学习Spring Security的过程中,了解其核心概念和工作流程至关重要。这个“spring security 学习使用的静态...
Spring Security学习之路
02-06
在"Spring Security学习之路"这个主题中,我们将深入探讨如何使用这个框架来实现登录界面和其他安全相关的功能。 首先,Spring Security的核心是为应用程序提供认证(Authentication)和授权(Authorization)服务...
springSecurity授权简单分析
qiuxinfa123的博客
04-16 733
弄完了认证流程,当然要看看授权是怎样进行的了。这里,不会把每一步的代码都贴出来,完整的代码,已经放到了GitHub:https://github.com/qiuxinfa/springSecurity-study 当访问系统的某个接口时,比如http://localhost:8080/admin/users,那么会先来到FilterSecurityInterceptor的doFilter方...
三、SpringSecurity 动态权限访问控制
时间海绵
05-25 6208
在先前文章中我们搭建了SpringSecurity项目,并且讲解了自定义登录方式需要做哪些工作,如果你感兴趣可以前往博客阅读文章以及代码,在本文将继续讲解如何实现动态权限控制。
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理
热门推荐
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
Spring Security 01 整体架构
weixin_46058921的博客
04-15 306
SpringSecurity的架构中,认证跟授权是分开的,无论采用什么样的认证方式,都不会影响授权,这是两个独立的存在 AuthenticationManager 主要实现类为 ProviderManager,在 ProviderManager中管理了众多 AuthenticationProvider 实例。在⼀次完整的
AccessDecisionManager中的supports
qq_37390245的博客
11-01 408
Spring security权限管理主要有两种 过滤实现 FilterSecurityInterceptor AOP MethodSecurityInterceptor AccessDecisionManager是提供给AbstractSecurityInterceptor成为AbstractSecurityInterceptor的成员变量的 一个请求达到AbstractSecurityInterceptor时,会用请求中包含的Authentication(通过this.authenticateIfR
springsecurity自定义角色权限授权
qq_57517269的博客
03-27 3344
security自定义角色权限 通过注解标记controller的方式与config配置的方式过于繁琐。这样每写一个接口都要去写这个注解,关键还要记相对应的权限,根本不符合当前的开发。 //注解方式 @PreAuthorize("hasAuthority('test')") public RespBean test(){ .... } @Override protected void configure(HttpSecurity http)
SpringSecurity 源码解析 | 加JWT 实战 之 授权流程源码分析
qq_31142237的博客
09-13 496
前两篇分析了SpringSecurity 认证源码和自定义认证流程,本片主要讲下另一个核心授权。 简单理解: 登录认证是用来确认用户是否能访问系统。 授权就是:你认证通过之后,还要检查是你是否满足资源所要求的权限。 我们用之前的源码继续分析。 首选思考下,要是你来实现这个框架,你怎么去处理授权这个流程? 正常来说,基于RBAC思想(基于角色的权限控制),权限控制的源头是资源,比如 API_1,要想根据用户来控制是否能访问API_1,我们判断该用户是否有访问API_1的角色。 那么简单流程就是: .
Spring Security实战:权限管理深度解析
"Spring-Security安全权限管理手册" Spring Security是一个强大的、高度可定制的安全框架,用于构建安全的Java web应用程序。它起源于Acegi项目,后来成为Spring框架的一部分,提供了全面的身份验证、授权和访问...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值