Spring源代码解析(十):Spring Acegi框架授权的实现

最新推荐文章于 2021-10-24 06:21:53 发布
最新推荐文章于 2021-10-24 06:21:53 发布
阅读量97 收藏
点赞数
分类专栏: Spring源码分析专题(学习) 文章标签: Spring 框架 Acegi Access Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wocaonimade123321/article/details/83496473
版权

我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的:

Java代码 复制代码
  1. //这里是拦截器拦截HTTP请求的入口   
  2.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)   
  3.         throws IOException, ServletException {   
  4.         FilterInvocation fi = new FilterInvocation(request, response, chain);   
  5.         invoke(fi);   
  6.     }   
  7. //这是具体的拦截调用   
  8.     public void invoke(FilterInvocation fi) throws IOException, ServletException {   
  9.         if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)   
  10.             && observeOncePerRequest) {   
  11.            //在第一次进行过安全检查之后就不会再做了   
  12.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
  13.         } else {   
  14.             //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了   
  15.             if (fi.getRequest() != null) {   
  16.                 fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);   
  17.             }   
  18.             //这里是做安全检查的地方   
  19.             InterceptorStatusToken token = super.beforeInvocation(fi);   
  20.             //接着向拦截器链执行   
  21.             try {   
  22.                 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());   
  23.             } finally {   
  24.                 super.afterInvocation(token, null);   
  25.             }   
  26.         }   
  27.     }  
//这里是拦截器拦截HTTP请求的入口
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
        throws IOException, ServletException {
        FilterInvocation fi = new FilterInvocation(request, response, chain);
        invoke(fi);
    }
//这是具体的拦截调用
    public void invoke(FilterInvocation fi) throws IOException, ServletException {
        if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
            && observeOncePerRequest) {
           //在第一次进行过安全检查之后就不会再做了
            fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
        } else {
            //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了
            if (fi.getRequest() != null) {
                fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
            }
            //这里是做安全检查的地方
            InterceptorStatusToken token = super.beforeInvocation(fi);
            //接着向拦截器链执行
            try {
                fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
            } finally {
                super.afterInvocation(token, null);
            }
        }
    }


我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的:

Java代码 复制代码
  1. protected InterceptorStatusToken beforeInvocation(Object object) {   
  2.     Assert.notNull(object, "Object was null");   
  3.   
  4.     if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {   
  5.         throw new IllegalArgumentException("Security invocation attempted for object "  
  6.             + object.getClass().getName()   
  7.             + " but AbstractSecurityInterceptor only configured to support secure objects of type: "  
  8.             + getSecureObjectClass());   
  9.     }   
  10.     //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置   
  11.     ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);   
  12.   
  13.     if (attr == null) {   
  14.         if(rejectPublicInvocations) {   
  15.             throw new IllegalArgumentException(   
  16.                   "No public invocations are allowed via this AbstractSecurityInterceptor. "  
  17.                 + "This indicates a configuration error because the "  
  18.                 + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");   
  19.         }   
  20.   
  21.         if (logger.isDebugEnabled()) {   
  22.             logger.debug("Public object - authentication not attempted");   
  23.         }   
  24.   
  25.         publishEvent(new PublicInvocationEvent(object));   
  26.   
  27.         return null// no further work post-invocation   
  28.     }   
  29.   
  30.   
  31.     if (logger.isDebugEnabled()) {   
  32.         logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());   
  33.     }   
  34.     //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去   
  35.     if (SecurityContextHolder.getContext().getAuthentication() == null) {   
  36.         credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",   
  37.                 "An Authentication object was not found in the SecurityContext"), object, attr);   
  38.     }   
  39.   
  40.     // 如果前面没有处理鉴权,这里需要对鉴权进行处理   
  41.     Authentication authenticated;   
  42.   
  43.     if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {   
  44.         try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理   
  45.             authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()   
  46.                                                                                          .getAuthentication());   
  47.         } catch (AuthenticationException authenticationException) {   
  48.             throw authenticationException;   
  49.         }   
  50.   
  51.         // We don't authenticated.setAuthentication(true), because each provider should do that   
  52.         if (logger.isDebugEnabled()) {   
  53.             logger.debug("Successfully Authenticated: " + authenticated.toString());   
  54.         }   
  55.         //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用   
  56.         SecurityContextHolder.getContext().setAuthentication(authenticated);   
  57.     } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication   
  58.         authenticated = SecurityContextHolder.getContext().getAuthentication();   
  59.   
  60.         if (logger.isDebugEnabled()) {   
  61.             logger.debug("Previously Authenticated: " + authenticated.toString());   
  62.         }   
  63.     }   
  64.   
  65.     // 这是处理授权的过程   
  66.     try {   
  67.         //调用配置好的AccessDecisionManager来进行授权   
  68.         this.accessDecisionManager.decide(authenticated, object, attr);   
  69.     } catch (AccessDeniedException accessDeniedException) {   
  70.         //授权不成功向外发布事件   
  71.         AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,   
  72.                 accessDeniedException);   
  73.         publishEvent(event);   
  74.   
  75.         throw accessDeniedException;   
  76.     }   
  77.   
  78.     if (logger.isDebugEnabled()) {   
  79.         logger.debug("Authorization successful");   
  80.     }   
  81.   
  82.     AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);   
  83.     publishEvent(event);   
  84.   
  85.     // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空   
  86.     Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);   
  87.   
  88.     if (runAs == null) {   
  89.         if (logger.isDebugEnabled()) {   
  90.             logger.debug("RunAsManager did not change Authentication object");   
  91.         }   
  92.   
  93.         // no further work post-invocation   
  94.         return new InterceptorStatusToken(authenticated, false, attr, object);   
  95.     } else {   
  96.         if (logger.isDebugEnabled()) {   
  97.             logger.debug("Switching to RunAs Authentication: " + runAs.toString());   
  98.         }   
  99.   
  100.         SecurityContextHolder.getContext().setAuthentication(runAs);   
  101.   
  102.         // revert to token.Authenticated post-invocation   
  103.         return new InterceptorStatusToken(authenticated, true, attr, object);   
  104.     }   
  105. }  
    protected InterceptorStatusToken beforeInvocation(Object object) {
        Assert.notNull(object, "Object was null");

        if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
            throw new IllegalArgumentException("Security invocation attempted for object "
                + object.getClass().getName()
                + " but AbstractSecurityInterceptor only configured to support secure objects of type: "
                + getSecureObjectClass());
        }
        //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置
        ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);

        if (attr == null) {
            if(rejectPublicInvocations) {
                throw new IllegalArgumentException(
                      "No public invocations are allowed via this AbstractSecurityInterceptor. "
                    + "This indicates a configuration error because the "
                    + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");
            }

            if (logger.isDebugEnabled()) {
                logger.debug("Public object - authentication not attempted");
            }

            publishEvent(new PublicInvocationEvent(object));

            return null; // no further work post-invocation
        }


        if (logger.isDebugEnabled()) {
            logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());
        }
        //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去
        if (SecurityContextHolder.getContext().getAuthentication() == null) {
            credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",
                    "An Authentication object was not found in the SecurityContext"), object, attr);
        }

        // 如果前面没有处理鉴权,这里需要对鉴权进行处理
        Authentication authenticated;

        if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {
            try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理
                authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()
                                                                                             .getAuthentication());
            } catch (AuthenticationException authenticationException) {
                throw authenticationException;
            }

            // We don't authenticated.setAuthentication(true), because each provider should do that
            if (logger.isDebugEnabled()) {
                logger.debug("Successfully Authenticated: " + authenticated.toString());
            }
            //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder中供下次使用
            SecurityContextHolder.getContext().setAuthentication(authenticated);
        } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication
            authenticated = SecurityContextHolder.getContext().getAuthentication();

            if (logger.isDebugEnabled()) {
                logger.debug("Previously Authenticated: " + authenticated.toString());
            }
        }

        // 这是处理授权的过程
        try {
            //调用配置好的AccessDecisionManager来进行授权
            this.accessDecisionManager.decide(authenticated, object, attr);
        } catch (AccessDeniedException accessDeniedException) {
            //授权不成功向外发布事件
            AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,
                    accessDeniedException);
            publishEvent(event);

            throw accessDeniedException;
        }

        if (logger.isDebugEnabled()) {
            logger.debug("Authorization successful");
        }

        AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);
        publishEvent(event);

        // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空
        Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);

        if (runAs == null) {
            if (logger.isDebugEnabled()) {
                logger.debug("RunAsManager did not change Authentication object");
            }

            // no further work post-invocation
            return new InterceptorStatusToken(authenticated, false, attr, object);
        } else {
            if (logger.isDebugEnabled()) {
                logger.debug("Switching to RunAs Authentication: " + runAs.toString());
            }

            SecurityContextHolder.getContext().setAuthentication(runAs);

            // revert to token.Authenticated post-invocation
            return new InterceptorStatusToken(authenticated, true, attr, object);
        }
    }


到这里我们假设配置AffirmativeBased作为AccessDecisionManager:

Java代码 复制代码
  1. //这里定义了决策机制,需要全票才能通过   
  2.     public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)   
  3.         throws AccessDeniedException {   
  4.         //这里取得配置好的迭代器集合   
  5.         Iterator iter = this.getDecisionVoters().iterator();   
  6.         int deny = 0;   
  7.         //依次使用各个投票器进行投票,并对投票结果进行计票   
  8.         while (iter.hasNext()) {   
  9.             AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();   
  10.             int result = voter.vote(authentication, object, config);   
  11.             //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票   
  12.             switch (result) {   
  13.             case AccessDecisionVoter.ACCESS_GRANTED:   
  14.                 return;   
  15.   
  16.             case AccessDecisionVoter.ACCESS_DENIED:   
  17.             //这里对反对票进行计数   
  18.                 deny++;   
  19.   
  20.                 break;   
  21.   
  22.             default:   
  23.                 break;   
  24.             }   
  25.         }   
  26.         //如果有反对票,抛出异常,整个授权不通过   
  27.         if (deny > 0) {   
  28.             throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",   
  29.                     "Access is denied"));   
  30.         }   
  31.   
  32.         // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制   
  33.         checkAllowIfAllAbstainDecisions();   
  34.     }   
  35. 具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票:   
  36.     public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {   
  37.         int result = ACCESS_ABSTAIN;   
  38.         //这里取得资源的安全配置   
  39.         Iterator iter = config.getConfigAttributes();   
  40.   
  41.         while (iter.hasNext()) {   
  42.             ConfigAttribute attribute = (ConfigAttribute) iter.next();   
  43.                
  44.             if (this.supports(attribute)) {   
  45.                 result = ACCESS_DENIED;   
  46.   
  47.                 // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置   
  48.                 // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。   
  49.                 for (int i = 0; i < authentication.getAuthorities().length; i++) {   
  50.                     if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {   
  51.                         return ACCESS_GRANTED;   
  52.                     }   
  53.                 }   
  54.             }   
  55.         }   
  56.   
  57.         return result;   
  58.     }  
//这里定义了决策机制,需要全票才能通过
    public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)
        throws AccessDeniedException {
        //这里取得配置好的迭代器集合
        Iterator iter = this.getDecisionVoters().iterator();
        int deny = 0;
        //依次使用各个投票器进行投票,并对投票结果进行计票
        while (iter.hasNext()) {
            AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();
            int result = voter.vote(authentication, object, config);
            //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票
            switch (result) {
            case AccessDecisionVoter.ACCESS_GRANTED:
                return;

            case AccessDecisionVoter.ACCESS_DENIED:
            //这里对反对票进行计数
                deny++;

                break;

            default:
                break;
            }
        }
        //如果有反对票,抛出异常,整个授权不通过
        if (deny > 0) {
            throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",
                    "Access is denied"));
        }

        // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制
        checkAllowIfAllAbstainDecisions();
    }
具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票:
    public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {
        int result = ACCESS_ABSTAIN;
        //这里取得资源的安全配置
        Iterator iter = config.getConfigAttributes();

        while (iter.hasNext()) {
            ConfigAttribute attribute = (ConfigAttribute) iter.next();
            
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置
                // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。
                for (int i = 0; i < authentication.getAuthorities().length; i++) {
                    if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }


上面就是对整个授权过程的一个分析,从FilterSecurityInterceptor拦截Http请求入手,然后读取对资源的安全配置以后,把这些信息交由AccessDecisionManager来进行决策,Spring为我们提供了若干决策器来使用,在决策器中我们可以配置投票器来完成投票,我们在上面具体分析了角色投票器的使用过程。

wocaonimade123321
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring源代码解析(十):Spring_Acegi框架授权实现.doc
08-04
在本文中,我们将深入探讨Spring_Acegi框架如何实现授权机制,特别是通过`FilterSecurityInterceptor`来处理HTTP请求的安全检查。 `FilterSecurityInterceptor`是Spring Security的核心组件之一,它负责拦截HTTP...
Spring源代码解析(九):Spring_Acegi框架鉴权的实现.doc
08-04
Spring框架中,Acegi(现在已经演变为Spring Security)是一个强大的安全管理组件,它提供了认证、授权等核心安全功能。在Spring_Acegi框架鉴权的实现中,我们主要关注的是如何处理用户的登录验证以及在验证成功或...
Spring Security(三):基本原理
zhujunjun6的专栏
03-20 261
Spring Security主要通过自定义的Filter对相关的URL进行权限控制,本篇文章将主要介绍它的基本原理: 继续接着上篇文章《Spring Security(二):三分钟入门HelloWorld 》,zjj-security-demo启动 ZjjSecurityDemoApplication 类main方法,并访问http://localhost:8080/hi进行观察: ...
史上最简单的Spring Security教程(二十一):AccessDecisionManager简介及自定义访问决策管理器
热门推荐
银河架构师的博客
08-10 1万+
AccessDecisionManager顾名思义,访问决策管理器。 Makesafinalaccesscontrol(authorization)decision 做出最终的访问控制(授权)决定。 而常用的AccessDecisionManager有三个,分别介绍一下其权限决策逻辑。 AffirmativeBased Spring Security框架默认的AccessDecisionManager。 /** * Simple concrete ...
spring security动态配置url权限认证
Purpletaro的专栏
10-24 3211
本文介绍的spring security动态配置url权限认证基于的是spring-boot-2.0.0、spring-security 5.X来编写的。 笔者浏览完spring security官方文档之后,发现并没有详细的介绍说明如何动态的配置我们的url权限认证。spring security默认的权限配置确只会在启动工程的时候初始化一次url权限配置。但是实际情况我们项目的权限会随时动态的更改,这样我们就需要重新启动项目以便新配置的权限生效。这样的处理显然不合理。当然spring是具有非常好的拓展
java权限管理源码之家_话说Spring Security权限管理(源码详解)
weixin_35747627的博客
02-26 153
最近项目需要用到Spring Security的权限控制,故花了点时间简单的去看了一下其权限控制相关的源码(版本为4.2)。AccessDecisionManagerspring security是通过AccessDecisionManager进行授权管理的,先来张官方图镇楼。AccessDecisionManagerAccessDecisionManager 接口定义了如下方法://调用Acce...
SpringSecurity 默认表单登录页展示流程源码
终极冥帝
01-23 794
SpringSecurity 默认表单登录页展示流程源码小说搜索 https://198200.com 本篇主要讲解 SpringSecurity提供的默认表单登录页 它是如何展示的的流程, 涉及 1.FilterSecurityInterceptor, 2.ExceptionTranslationFilter , 3.DefaultLoginPageGeneratingFilter 过...
Spring源代码解析9:SpringAcegi框架鉴权的实现.pdf
10-05
Spring源代码解析9中,我们关注的是如何实现这个过程,特别是涉及用户账户状态检查和密码验证的部分。这部分代码展示了Spring Acegi如何与数据库交互来获取并验证用户信息。 首先,`Assert.notNull(user, ...
spring源代码解析十.pdf
10-04
这篇源代码解析主要关注Spring Acegi中AuthenticationProcessingFilter的实现,它是Web页面验证的核心部分。AuthenticationProcessingFilter是Servlet Filter接口的实现,主要用于在请求到达目标资源之前进行身份...
Spring源代码解析.rar
04-16
Spring源代码解析1:IOC容器.doc Spring源代码解析2:IoC容器在Web容器中的启动.doc Spring源代码解析3:Spring JDBC .doc Spring源代码解析4:Spring MVC .doc ...Spring源代码解析10:Spring Acegi框架授权实现.doc
话说Spring Security权限管理(源码)
weixin_34390996的博客
11-28 114
最近项目需要用到Spring Security的权限控制,故花了点时间简单的去看了一下其权限控制相关的源码(版本为4.2)。 AccessDecisionManager spring security是通过AccessDecisionManager进行授权管理的,先来张官方图镇楼。 AccessDecisionManager AccessDecisionManager 接口定义了如下方法: /...
Spring Security(15)——权限鉴定结构
dotedy的博客
10-16 2606
Spring Security角色继承AffirmativeBasedVoter权限鉴定 权限鉴定结构 目录 1.1      权限 1.2      调用前的处理 1.2.1     AccessDecisionManager 1.2.2     基于投票的AccessDecisionManager实现 1.3      调用后的处理 1.4      角色的继承
Spring源代码解析(十):Spring Acegi框架授权实现
子夜轻风
03-18 116
我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的: Java代码 //这里是拦截器拦截HTTP请求的入口         public   void  doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  ...
Spring Security 3.0 数据库动态实现权限控制
zlllxl2002的专栏
02-11 2684
开发环境 SpringIDE 3.0、Spring Security 3.0.2、myibatis、Maven、MySql 最前面的spring配置以及Maven管理架包、myibatis的配置就不说了 首先: 1、需要将所需要的JAR包在pom中配置 2、在web.xml中添加spring security的过滤链 springSecurityFilt
SpringSecurity--权限配置
喝醉的咕咕鸟
03-20 3345
权限相关API和流程: 关键点在: 1.FilterSecurityInterceptor 所有的SpringSecurity拦截器都会进入这个安全处理器中。只有通过才能处理业务逻辑。 2.AccessDecisionManager:认证投票处理。 3.AccessDecisionVoter:选举者。 4.AbstractAccessDecisionMan...
Spring Security原理学习--权限校验(四)
井底之蛙
10-17 4183
      在上一篇博客Spring Security原理学习--用户名和密码认证(三)中我们已经了解到Spring Security关于用户名和密码在UsernamePasswordAuthenticationFilter中的认证处理逻辑,接下来我们看看权限的校验处理。       Spring Security权限角色的校验处理是在FilterSecurityInterceptor过滤器中进...
oauth2 access_denied 不允许访问_自定义AccessDecisionManager实现类选举法(少数服从多数且超过半数同意)的访问决策...
weixin_39974958的博客
12-01 643
前面讲过 Spring Security 框架实现的一个 AccessDecisionManager,是少数服从多数的授权访问决策。但是,在具体业务场景中,可能还会遇到类似于选举法的授权场景,即少数服从多数且超过半数同意。那么,本次便参考此授权决策方案,自定义一个 AccessDecisionManager。由于核心授权逻辑还是少数服从多数,所以我们部分参考一下 ConsensusBased 的授...
SpringSecurity分析-3-访问授权
weixin_33869377的博客
06-13 359
2019独角兽企业重金招聘Python工程师标准>>> ...
2024年公关服务行业分析报告.pptx
最新发布
07-09
行业报告

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值