springsecurity2.0.6代码分析成果

最新推荐文章于 2024-01-10 15:23:50 发布
最新推荐文章于 2024-01-10 15:23:50 发布
阅读量339 收藏
点赞数
分类专栏: Java阵营 文章标签: 代码分析 authentication iterator action user access
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yyb_gz/article/details/6147297
版权

之前也试着玩过springsecurity,这回把它搬到项目中,却遇到了意想不到的麻烦。我定义了一些角色与资源,下表显示了它们的情况:

 

Loginer        Role                     Resource                    Description

admin          ROLE_ADMIN        /*/*.action                   能访问所有的action资源

user             ROLE_USER          /index/index.action       仅能访问去首页的那个action

 

假设登录后就访问/index/index.action。我的目的是以admin登录的用户,它具有管理者的角色,并能访问所有的action资源;而以user登录的用户只能访问去首页的那个action资源。所以无论谁登录,都应该可以访问 /index/index.action资源。结果只有其中一个能成功!

 

先看一下用于判断是否有权限访问资源的那个类及相关代码:

package org.springframework.security.intercept.web;

....

public class DefaultFilterInvocationDefinitionSource implements FilterInvocationDefinitionSource {

....

    private ConfigAttributeDefinition lookupUrlInMap(Map requestMap, String url) {
        Iterator entries = requestMap.entrySet().iterator();

        while (entries.hasNext()) {
            Map.Entry entry = (Map.Entry) entries.next();
            Object p = entry.getKey();    //这个相当于Resource
            boolean matched = urlMatcher.pathMatchesUrl(p, url);

            if (logger.isDebugEnabled()) {
                logger.debug("Candidate is: '" + url + "'; pattern is " + p + "; matched=" + matched);
            }

            if (matched) {

                //如果用户访问的资料与requestMap内定义的Resource匹配,就返回这个资源对应的所有角色。

               //因为while循环,并且找到匹配后就返回,所以就永远只返回第一条匹配的Resource对应的所有角色了。

                return (ConfigAttributeDefinition) entry.getValue(); ****(1)
            }
        }

        return null;
    }

....

}

 

 

package org.springframework.security.vote;

....

  public class RoleVoter implements AccessDecisionVoter {

....

    public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {
        int result = ACCESS_ABSTAIN;
        Iterator iter = config.getConfigAttributes().iterator();    //此迭代器的内容就是上边返回的匹配与当前请求的所有角色
        GrantedAuthority[] authorities = extractAuthorities(authentication);    //当前登录者拥有的所有角色

        while (iter.hasNext()) {
            ConfigAttribute attribute = (ConfigAttribute) iter.next();    //迭代器里的每个角色

            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                //如果当前登录都其中一个角色与当前请求匹配的其中一个角色对应,就允许访问。

                ****(2)
                for (int i = 0; i < authorities.length; i++) {
                    if (attribute.getAttribute().equals(authorities[i].getAuthority())) {

 

                        return ACCESS_GRANTED;
                    }
                }
            }
        }
        return result;
    }

....

  }

 

所以,结论如下:

在(1)处,如果第一条匹配的Resource对应的角色是ROLE_ADMIN,用user来登录的话,虽然他能够访问 /index/index.action,但user的角色是ROLE_USER,所以(2)处作判断的话就说他没权限访问了;

在(1)处,如果第一条匹配的Resource对应的角色是ROLE_USER,用admin来登录的话,虽然他能够访问 /index/index.action,但admin的角色是ROLE_ADMIN,所以(2)处作判断的话就说他没权限访问了。

 

最后的教训是,在定义资源的时候,不同的资源必须互不相干,如果象我上边那样一个资源能匹配另一个,就会出现无权访问资源的后果了。

 

yyb_gz
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity快速搭建
xiaoheihai666的博客
08-31 1677
security框架为什么能够在controller执行之前就可以先进行登录呢,个人理解是 security 充分利用了依赖注入(DI)和面向切面编程(AOP)功能,为 应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复 代码的工作。是一个轻量级的安全框架。而且我们通过maven查看依赖也可以看出,security依赖中集成了aop的依赖包。然后运行启动类 ,在浏览器输入地址后,填写自己自定义的账密进行登录就ok了。登录成功后,即可看到我们controller类中输出的语句。....
Spring Security 2.0.6 and 3.0.4 Released
BLOG域名:programb.blog.csdn.net
05-16 189
Releases Luke Taylor October 28, 2010 We’re pleased to an announce the release of Spring Security 3.0.4. This release provides a fix for the vulnerability CVE-2010-3700. A 2.0.6 release has also been provided for users who have not yet to upgraded to Sprin
SpringBoot 2.0.5简单整合Spring Security遇到的坑
qq_36625757的博客
10-25 2553
SpringBoot整合Security的博客案例网上已经很多了,但个人觉得对于一个初次整合Security的同学来说,一个简单的案例还是很有必要的。为此,上传一个本人整合的案例,仅供大家参考,也为自己记录一下,话不多说,表演开始。 版本介绍:SpringBoot 2.0.5,JDK 1.8 首先创建SpringBoot项目,能看到这里的同学,相信这一步就不用多说了,可以使用Eclipse中的...
mybatis-spring源码分析版本2.0.6
wangfenglei123456的博客
12-20 543
mybatis整合spring源码分析
Spring Security介绍(一)
w_t_y_y的博客
01-10 759
实现权限配置,登录验证成功后初始化org.springframework.security.core.userdetails.UserDetails,存储当前登录用户。默认(可缺省)登录接口:/login。一、Spring Security:通过继承。
Spring Framework 2.0.6 Released
BLOG域名:programb.blog.csdn.net
05-14 220
Releases Colin Sampaleanu June 18, 2007 Dear Spring Community, We are pleased to announce that Spring 2.0.6 has been released. Spring 2.0.6 is a bugfix and enhancement release in the Spring 2.0 series, addressing all issues reported since 2.0.5 and backpo
Spring Boot整合 Spring Security、 OAuth2
m0_56799642的博客
12-08 1951
OAuth是一种用来规范令牌(Token)发放的授权机制,主要包含了四种授权模式:授权码模式、简化模式、密码模式和客户端模式OAuth相关的名词第三方应用程序,比如这里的虎牙直播;HTTP服务提供商,比如这里的QQ(腾讯);资源所有者,就是QQ的所有人,你;User Agent用户代理,这里指浏览器;认证服务器,这里指QQ提供的第三方登录服务;资源服务器,这里指虎牙直播提供的服务,比如高清直播,弹幕发送等(需要认证后才能使用)。认证服务器主要包含了四种授权模式的实现和Token的生成与存储资源服务器。
Spring Security:二、整合OAuth 2.0(新)
好幸运
09-26 1192
项目结构: 代码地址: 一、什么是OAuth 2.0 什么是OAuth 2.0 OAuth 2.0的四种模式 OAuth2.0图解 OAuth 2.0客服端模式有A、B两台服务器,这里在一个服务中模拟 二、说明 2.1、spring security oauth2建立在spring security基础之上 2.2、 配置spring security 配置认证服务器 配置资源服务器 2...
mybatis-spring-2.0.6.jar
03-23
mybatis-spring-2.0.6.jar
mybatis-spring-2.0.6-API文档-中文版.zip
05-09
赠送源代码:mybatis-spring-2.0.6-sources.jar; 赠送Maven依赖信息文件:mybatis-spring-2.0.6.pom; 包含翻译后的API文档:mybatis-spring-2.0.6-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.mybatis:...
spring-mybatis-spring-2.0.6.zip
最新发布
04-19
Spring与MyBatis整合详解及2.0.6版本应用》 在Java开发领域,Spring框架和MyBatis作为两个极为重要的组件,被广泛应用于各种业务系统开发中。Spring以其强大的依赖注入和面向切面编程特性,为开发者提供了便捷的...
mybatis-spring-2.0.6-API文档-中英对照版.zip
05-04
赠送源代码:mybatis-spring-2.0.6-sources.jar; 赠送Maven依赖信息文件:mybatis-spring-2.0.6.pom; 包含翻译后的API文档:mybatis-spring-2.0.6-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:org....
spring-security-core-2.0.6.RELEASE
07-14
Spring Security核心模块详解——基于2.0.6.RELEASE版本》 在Java Web开发领域,Spring Security是一款广泛使用的安全框架,它为应用程序提供了全面的安全管理解决方案,包括身份验证、授权以及会话管理等关键...
jquery ui 实现table的sortable功能以及过滤记录功能
yyb_gz的专栏
08-01 6775
<br />本人在工作中曾使用js实现过用鼠标拖动表格的行实现重新排序的功能。当时写了不少的js代码。最近发现jquery ui也能实现这个功能,而且很方便,真后悔当时不知道有这么个好东东。好,现在介绍下如何使用jquery ui来实现。<br /> <br />引入的js文件<br /><script type="text/javascript" src="js/jquery-1.4.2.js"></script><br /> <script type="text/javascript" src="js
CXF开发WebService客户端
yyb_gz的专栏
03-13 6069
 开发必备1.apache-cxf-2.2.62.spring-ws-1.5.83.eclipse-jee-galileo-SR1-win32 开发步骤:一、新建一个普通的java工程,名字叫WebService_CXF_Client二、导入apache-cxf-2.2.6 及 spring-ws-1.5.8 下的jar包三、启动《CXF开发WebService
CXF开发WebService服务器端
yyb_gz的专栏
03-13 3421
开发必备1.apache-cxf-2.2.62.spring-ws-1.5.83.eclipse-jee-galileo-SR1-win32 开发步骤:一、新建一个Dynamic Web Project工程。名字叫WebService_CXF_Host二、将apache-cxf-2.2.6 及 spring-ws-1.5.8 下的jar包拷贝到 WebService_C
spring3.0.3+hibernate3.5.4+JOTM2.2.1实现JTA事务管理
yyb_gz的专栏
09-23 3306
本文参考资料:http://java.e800.com.cn/articles/2007/417/1176746498587392322_1.html实验方法:本文设置两个entity(Topic, Post ),在事务处理中,如果不抛异常,就分别往Topic与Post所对应数据库的表添加一条记录;如果抛异常,则两个数据库的表不添加记录。Topic的类定义以下映射文件如下:package entity; public class Topic {     private long oid;     pr
SpringFramework事件与监听机制(@EventListener)
yyb_gz的专栏
08-24 2082
SpringBoot版本:2.0.2.RELEASE SpringFramework版本:5.0.6.RELEASE 文章目录@EventListener的初始化工作@EventListener的转换 之前的“SpringFramework事件与监听机制”系列文章已经从接口层面上介绍了事件、监听器和发布器。然使用@EventListener也能达到ApplicationLister接口的效果,据我们对spring的认识,它们不会轻易放过代码重用的机会,那么@EventListener的使用,背后与Appli
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值