尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和
FilterInvocationSecurityMetadataSource。
AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource:
资源源数据定义,即定义某一资源可以被哪些角色访问
他们的关系在spring security配置文件中的配置方式如下代码所示。
通过源码分析我们知道这三个类都是
FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然
FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。
上面配置方式中属性
securityMetadataSource是使用
<security:filter-security-metadata-source>
Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个
FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和
FilterInvocationSecurityMetadataSource。
AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource:
资源源数据定义,即定义某一资源可以被哪些角色访问
他们的关系在spring security配置文件中的配置方式如下代码所示。
通过源码分析我们知道这三个类都是
FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然
FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。
上面配置方式中属性
securityMetadataSource是使用
<security:filter-security-metadata-source>
Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个
FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和
FilterInvocationSecurityMetadataSource。
AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource:
资源源数据定义,即定义某一资源可以被哪些角色访问
他们的关系在spring security配置文件中的配置方式如下代码所示。
通过源码分析我们知道这三个类都是
FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然
FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。
上面配置方式中属性
securityMetadataSource是使用
<security:filter-security-metadata-source>
Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个
FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。
尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和
FilterInvocationSecurityMetadataSource。
AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource:
资源源数据定义,即定义某一资源可以被哪些角色访问
他们的关系在spring security配置文件中的配置方式如下代码所示。
通过源码分析我们知道这三个类都是
FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然
FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。
上面配置方式中属性
securityMetadataSource是使用
<security:filter-security-metadata-source>
Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个
FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。