Spring Security权限控制源码分析

最新推荐文章于 2022-10-21 18:55:55 发布
最新推荐文章于 2022-10-21 18:55:55 发布
阅读量1k 收藏 2
点赞数 3
分类专栏: Spring 文章标签: SpringSecurity 权限控制
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xu906722/article/details/88918917
版权

流程图

在这里插入图片描述
在这里插入图片描述

类和接口介绍

  • FilterSecurityInterceptor:是整个权限判断流程的入口,包含着请求的相关信息;
  • AccessDecisionManager:是一个接口,有一个抽象实现(AbstractAccessDecisionManager)和三个具体实现(AffirmativeBased、ConsensusBased和UnanimousBased)
  • AbstractAccessDecisionManager: 该实现中维护者一组AccessDecisionVoter接口;
  • AccessDecisionVoter:对每个权限请求进行投票(Spring Security3之前的voter);
  • AffirmativeBased:积极的策略,即对于一个权限判断,不管有多少个Voter投不通过,只要有一个投票通过,该权限就通过;该策略是spring默认的判断策略;
  • ConsensusBased:共识的策略,即比较投票通过和不通过的票数,以票数最多的为准;
  • UnanimousBased:全部通过策略,即对于一个权限判断,不管有多少个投票通过,只要有一个投票不通过,该权限就不通过;
  • SecurityConfig:Spring Security的配置文件,用于配置哪些请求放行,哪些请求要经过过滤器以及tokenStoke、enhance等;
  • ConfigAttribute:FilterSecurityInterceptor会从SecurityConfig中读取配置信息,并封装成一组ConfigAttribute对象,每个ConfigAttribute对象代表着一个URL它所需要的权限;
  • Authentication:封装着当前用户所拥有的权限信息;
  • WebExpressionVoter: Spring Security3新增的voter,在web服务中它包含了所有的voter,即它投票过就通过、不过就不通过;

该流程中一共包含三组信息:1. FilterSecurityInterceptor所携带的用户请求信息,2. SecurityConfig配置的权限信息,3. Authentication当前用户所拥有的权限信息。 将这三组权限信息传递给AbstractAccessDecisionManager,它通过AccessDecisionVoter对当前请求是否拥有相应权限进行投票,spring根据设定的投票策略判断当前用户是否拥有他所请求资源的权限。

源码分析

FilterSecurityInterceptor:doFilter方法
public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		
		// 参考下方:invoke方法
		invoke(fi);
	}

public void invoke(FilterInvocation fi) throws IOException, ServletException {
		// 判断当前请求是否已经经过当前过滤器
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}

			// 在调用后面的过滤器之前,调用AbstractSecurityInterceptor的beforeInvocation方法
			// 参考下方:beforeInvocation方法
			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}

AbstractSecurityInterceptor: beforeInvocation方法

protected InterceptorStatusToken beforeInvocation(Object object) {
		Assert.notNull(object, "Object was null");
		final boolean debug = logger.isDebugEnabled();

		if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {
			throw new IllegalArgumentException(
					"Security invocation attempted for object "
							+ object.getClass().getName()
							+ " but AbstractSecurityInterceptor only configured to support secure objects of type: "
							+ getSecureObjectClass());
		}

		// 获取当前请求应该具有的权限信息
		// 参考下方getAttributes方法
		Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource()
				.getAttributes(object);

		if (attributes == null || attributes.isEmpty()) {
			if (rejectPublicInvocations) {
				throw new IllegalArgumentException(
						"Secure object invocation "
								+ object
								+ " was denied as public invocations are not allowed via this interceptor. "
								+ "This indicates a configuration error because the "
								+ "rejectPublicInvocations property is set to 'true'");
			}

			if (debug) {
				logger.debug("Public object - authentication not attempted");
			}

			publishEvent(new PublicInvocationEvent(object));

			return null; // no further work post-invocation
		}

		if (debug) {
			logger.debug("Secure object: " + object + "; Attributes: " + attributes);
		}

		if (SecurityContextHolder.getContext().getAuthentication() == null) {
			credentialsNotFound(messages.getMessage(
					"AbstractSecurityInterceptor.authenticationNotFound",
					"An Authentication object was not found in the SecurityContext"),
					object, attributes);
		}

		// 获取当前用户所拥有的权限信息
		// 参考下方:authenticateIfRequired方法
		Authentication authenticated = authenticateIfRequired();

		// Attempt authorization
		try {
			// 调用AffirmativeBased的decide方法
			// authenticated: 封装了当前用户所拥有的权限信息
			// object: 封装了当前请求所携带的信息
			// attributes: 封装了当前请求应该具有的权限信息
			// 参考下方:decide方法
			this.accessDecisionManager.decide(authenticated, object, attributes);
		}
		catch (AccessDeniedException accessDeniedException) {
			publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
					accessDeniedException));

			throw accessDeniedException;
		}

		if (debug) {
			logger.debug("Authorization successful");
		}

		if (publishAuthorizationSuccess) {
			publishEvent(new AuthorizedEvent(object, attributes, authenticated));
		}

		// Attempt to run as a different user
		Authentication runAs = this.runAsManager.buildRunAs(authenticated, object,
				attributes);

		if (runAs == null) {
			if (debug) {
				logger.debug("RunAsManager did not change Authentication object");
			}

			// no further work post-invocation
			return new InterceptorStatusToken(SecurityContextHolder.getContext(), false,
					attributes, object);
		}
		else {
			if (debug) {
				logger.debug("Switching to RunAs Authentication: " + runAs);
			}

			SecurityContext origCtx = SecurityContextHolder.getContext();
			SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
			SecurityContextHolder.getContext().setAuthentication(runAs);

			// need to revert to token.Authenticated post-invocation
			return new InterceptorStatusToken(origCtx, true, attributes, object);
		}
	}

DefaultFilterInvocationSecurityMetadataSource: getAttributes方法

public Collection<ConfigAttribute> getAttributes(Object object) {
		final HttpServletRequest request = ((FilterInvocation) object).getRequest();
		// 1. SecurityConfig 配置的URL权限信息都会在requestMap中记录
		// 2. 判断当前请求中是否有与配置信息匹配,如果匹配的话获取到当前请求应有的权限
		for (Map.Entry<RequestMatcher, Collection<ConfigAttribute>> entry : requestMap
				.entrySet()) {
			if (entry.getKey().matches(request)) {
				return entry.getValue();
			}
		}
		return null;
	}

AbstractSecurityInterceptor: authenticateIfRequired方法

private Authentication authenticateIfRequired() {
		Authentication authentication = SecurityContextHolder.getContext()
				.getAuthentication();

		if (authentication.isAuthenticated() && !alwaysReauthenticate) {
			if (logger.isDebugEnabled()) {
				logger.debug("Previously Authenticated: " + authentication);
			}

			return authentication;
		}

		authentication = authenticationManager.authenticate(authentication);

		// We don't authenticated.setAuthentication(true), because each provider should do
		// that
		if (logger.isDebugEnabled()) {
			logger.debug("Successfully Authenticated: " + authentication);
		}

		SecurityContextHolder.getContext().setAuthentication(authentication);

		return authentication;
	}

AffirmativeBased:decide方法

public void decide(Authentication authentication, Object object,
Collection configAttributes) throws AccessDeniedException {
int deny = 0;

	for (AccessDecisionVoter voter : getDecisionVoters()) {
		int result = voter.vote(authentication, object, configAttributes);

		if (logger.isDebugEnabled()) {
			logger.debug("Voter: " + voter + ", returned: " + result);
		}

		switch (result) {
		case AccessDecisionVoter.ACCESS_GRANTED:
			return;

		case AccessDecisionVoter.ACCESS_DENIED:
			deny++;

			break;

		default:
			break;
		}
	}

	if (deny > 0) {
		throw new AccessDeniedException(messages.getMessage(
				"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
	}

	// To get this far, every AccessDecisionVoter abstained
	checkAllowIfAllAbstainDecisions();
}

}

小猴子豆芽菜
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
非常珍贵的Spring Security企业级认证与授权全套视频(自鉴过后,良心推荐)
04-02
SpringSecurity 全套开发,设计源码解读,整个拦截器链分析,QQ登录,微信登录,短信验证,短信登录,在security基础上学习写一个自定义验证授权设计模式,整套视频讲解的分享细致认真,非常值得学习。不管小白还是...
Spring Security 自定义access decision使用SpEL
iteye_11819的博客
04-14 485
Spring Security允许通过security命名空间来配置AccessDecisionManager。元素的access-decision-manager-ref属性来指明一个实现了AccessDecisionManager的Spring Bean。Spring Security提供了这个接口的三个实现类,都在org.springframework.security.access.v...
Spring Security入门(1-13)Spring Security的投票机制和投票器
weixin_33875564的博客
06-21 624
1、三种表决方式,默认是 一票制AffirmativeBased public interface AccessDecisionManager { /** * 通过传递的参数来决定用户是否有访问对应受保护对象的权限 * @param authentication 当前正在请求受包含对象的Authentication * @param object 受保护对象,其可...
Spring Security认证授权底层源码解析
weixin_41798072的博客
11-11 942
Spring Security认证授权底层源码解析1.springsecurity总体结构2.认证流程3.授权流程 1.springsecurity总体结构 2.认证流程 3.授权流程
SpringBoot Security工作原理
qq_33590654的博客
02-14 1296
一、概述 Spring Security是解决安全访问控制的问题,说白了就是认证和授权两个问题。而至于像之前示例中页面控件的查看权限,是属于资源具体行为。SpringSecurity虽然也提供了类似的一些支持,但是这些不是Spring Security控制的重点。Spring Security功能的重点是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。而Spring Security对Web资源的保护是通过Filter来实现的,所以要从Filter入手,逐步深入Spring Sec
springsecurity oauth2.0 springboot整合 spring security认证与授权4
健康平安的活着的专栏
08-01 626
spring security DaoAuthenticationProvider和UserDetailsService的职责搞混淆,其实UserDetailsService只负责从特定的地方(通常是数据库)加载用户信息,仅此而已。而DaoAuthenticationProvider的职责更大,它完成完整的认证流程,同时会把UserDetails填充至Authentication。 二 spring boot整合spring security 2.1 工程结构 2.2配置pom文件
AccessDeniedException: spring security 认证中的一个小坑(bug集2)
pingzhuyan的博客
01-14 496
情况: 后端测试成功,前端对接测试的时候 出现这个问题 org.springframework.security.access.AccessDeniedException: 不允许访问 at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:73) at org.springframework.security.access.intercept.Abstract...
org.springframework.security.access.AccessDeniedException: Access is denied异常
qq_33014331的博客
06-02 939
在搭建spring oauth2.0 授权码模式demo时,使用code获取token时,一直提示这个错误,后来发现是因为配置问题: [DEBUG] ExceptionTranslationFilter - Access is denied (user is anonymous); redirecting to authentication entry point <org.springframework.security.access.AccessDeniedException: Access is
security.rar
09-06
SpringSecurity权限认证功能,包含一个PPT和一个流程图,PPT从四个方法介绍了SpringSecurity。有SpringSecurity的历史,配置、源码分析、项目搭建;包含了如何定义更自由的权限认证
java8集合源码分析-spring-boot-frank:SpringBoot2.0.0.R以上版本的例子,包含邮件、报表、权限、以及后台管
06-04
集合源码分析 Spring Boot Frank 前言 Spring Boot 是简化Spring应用的创建、运行、调试、部署等一系列问题而诞生的产物,自动装配的特性可以让开发更专注于业务本身,而不是外部的XML配置,遵循规范开发,引入相关...
最新ssm项目高校智能培训管理系统分析与设计+vue.zip
最新发布
04-10
8. **安全性设计**:后端采用Spring Security框架,确保了用户认证和授权的安全性,保护敏感数据不被未授权访问。 9. **模块化开发**:系统采用模块化的设计,易于维护和扩展,同时也便于团队协作和并行开发。 10. *...
JAVA上百实例源码以及开源项目
01-03
摘要:Java源码,文件操作,权限控制  Java访问权限控制,为Java操作文件、写入文件分配合适的权限,定义写到文件的信息、定义文件,输出到c:/hello.txt、写信息到文件、关闭输出流。 Java绘制图片火焰效果 1个目标...
Spring Security如何鉴权源码分析
qq_23079139的博客
03-22 796
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
SpringSecurity源码解析
zjl1638908711的博客
10-21 1413
SpringSecurity源码浅解析
SpringSecurity(二) :授权流程
程序员小刘
01-02 826
文章目录一、授权流程1.1 AccessDecisionManager1.2 授权决策 一、授权流程 Spring Security可以通过 http.authorizeRequests()对 web请求进行授权保护。 Spring Security使用标准 Filter建立了对 web请求的拦截,最终对资源的授权访问。 Spring Security的授权流程如下: 分析授权流程: 拦截请求,已认证用户访问受保护的 web资源被 SpringFilterChain中的 FilterSecurityI
SpringSecurity最全实战讲解
roykingw的专栏
09-28 2934
文章目录Spring Security 专题一、基本概念认证授权会话RBAC模型二、一个自己实现的权限模型 BasicAuth:三、SpringBoot Security 快速上手1、项目搭建步骤2、用SpringBoot Security重新实现我们上个应用的认证和授权逻辑。3、项目测试4、了解SpringBoot Security项目的扩展点四、SpringBoot Security工作原理1、 结构总览2、认证流程2.1 AuthenticationProvider接口:认证处理器2.2 Authen
SpringSecurity授权流程源码分析
程序员劝退师的博客
11-17 406
前言 在之前文章中有单独写过SpringSecurity表单登录流程源码分析SpringSocial使用QQ授权登录流程详细分析两篇关于登录流程的,这些其实只是SpringSecurity整个流程的一部分罢了,也就是验证一下用户身份,但是真正的授权还是要这篇文章来讲解的!废话不多说,进入正题吧! 这张图是贯穿整个SpringSecurity的核心流程的,但是观看图可能理解是有点抽象,这篇文章就来详细解释这张流程图! 理论铺垫 SpringSecurity真正判断请求能否通过是在FilterSecurit
SpringSecurity授权流程分析+动态授权实现
张氏小毛驴的博客
08-12 1802
代码运行到这里后,我们拿到了系统配置的URL权限attributes,认证用户对象Authentication也拿到了,还有当前请求相关的信息FilterInvocation ,也就是这个方法的参数object,接下来授权肯定是拿着三部分的信息去实现的。之前说过,SpringSecurity过滤器链,图中绿色的是认证相关的,蓝色部分是异常相关的,而橙色部分是授权相关,今天我们就是要理清橙色部分授权相关的流程,以及实现动态授权。通过上面的分析,我们大体能了解到整个授权的流程是这样的:(网上找的图)......
Spring AOP注解和切面表达式详解
NullPointerException的博客
04-05 4595
AOP设计的初衷 DRY:Don’t Repeat Yourself,减少重复代码; SoC:Separation of Concerns,关注分离; 水平分离:展示层 --> 服务层 --> 持久层 垂直分离:模块之间分离; 切面分离:功能性需求与非功能性需求分离; 使用AOP的好处 集中处理某一关注点/横切逻辑 可以很方便的添加/删除关注点 侵入性少,增强代码可读性以...
分析一下SpringSecurity源码
05-28
Spring Security 是一个开源的安全框架,为企业级应用提供了全面的安全性保护。Spring Security 的核心是认证(Authentication)和授权(Authorization)两个方面,其中认证功能用于确定用户的身份,授权功能用于确定用户是否有权限执行某项操作。 Spring Security源码分为多个模块,其中最核心的是 spring-security-core 模块。该模块主要包括以下几个方面: 1. 用户身份认证相关的代码,包括 AuthenticationManager 接口、AuthenticationProvider 接口、Authentication 接口、UserDetailsService 接口等。 2. 访问控制相关的代码,包括 SecurityMetadataSource 接口、AccessDecisionManager 接口等。 3. 安全过滤器相关的代码,包括 FilterSecurityInterceptor 类、AbstractSecurityInterceptor 类等。 4. 配置相关的代码,包括 SecurityConfigurer 接口、SecurityBuilder 接口、WebSecurityConfigurerAdapter 类等。 通过阅读 Spring Security源码,可以深入了解认证和授权的实现原理,以及安全过滤器的工作流程和配置方式。同时,也可以根据实际需求进行定制化开发,以满足项目的安全性需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值