SpringSecurity中allowIfAllAbstainDecisions、observeOncePerRequest 作用

最新推荐文章于 2021-12-25 18:45:48 发布
最新推荐文章于 2021-12-25 18:45:48 发布
阅读量579 收藏
点赞数
分类专栏: SpringBoot 文章标签: SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjy660358/article/details/109647142
版权

表决器  抽象类  AbstractAccessDecisionManager 有个属性allowIfAllAbstainDecisions= false,相关方法checkAllowIfAllAbstainDecisions()

	protected final void checkAllowIfAllAbstainDecisions() {
		if (!this.isAllowIfAllAbstainDecisions()) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}
	}

AffirmativeBased、ConsensusBased、UnanimousBased 三个表决最后都会调用checkAllowIfAllAbstainDecisions()到了这一步,说明所有投票器都弃权。那么默认情况下,调用这个方法访问拒绝

 

 

权限拦截器  FilterSecurityInterceptor 属性  observeOncePerRequest = true 默认为真,字面意思监控每一次请求

public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null && observeOncePerRequest) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}

			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}

有些动态权限实现方法是在 FilterSecurityInterceptor 后增加自定义过滤器

在FilterSecurityInterceptor 处理后,已经对此请求添加了已经处理的标识,所以自定义 FilterSecurityInterceptor 就直接跳过,不再处理。

自定义过滤器可以将observeOncePerRequest属性设为假,或者直接改变有误处理的attribute的key,跟父类不同也可以

 

树欲静而风不止
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security介绍
li123128的博客
11-03 2万+
文章主要分三部分 1、Spring Security的架构及核心组件:(1)认证;(2)权限拦截;(3)数据库管理;(4)权限缓存;(5)自定义决策; 2、环境搭建与使用,使用当前热门的Spring Boot来搭建环境,结合项目实际的例子来做几个Case; 3、Spring Security的优缺点总结,结合第二部分几个Case的实现来总结Spring Security的优点和缺点。 1、Spring Security介绍 ​ 整体介绍,Spring Security为基于J2EE开发的企业应用软件
Spring Security如何在Servlet执行
08-19
Spring Security,这个Bean通常是`FilterSecurityInterceptor`或其他安全相关的Filter。 3. **FilterChainProxy**: `FilterChainProxy`是Spring Security的核心组件之一,它扮演着Filter Chain的调度者角色。...
Acegi ACL使用
要思考
03-20 120
本文假设你对Acegi其他部分已经比较熟悉。Acegi 的ACL控制是建立在对相应业务方法拦截的基础上的。这里以Acegi自带的contacts例子来说明。 先看看总的配置: xml 代码   <bean id="contactManagerSecurity" class="org.acegisecurity.intercept.method.aopalliance.Method...
Spring Security3源码分析(10)-FilterSecurityInterceptor分析
Benjamin
09-11 1933
FilterSecurityInterceptor过滤器对应的类路径为  org.springframework.security.web.access.intercept.FilterSecurityInterceptor  这个filter是filterchain比较复杂,也是比较核心的过滤器,主要负责授权的工作  在看这个filter源码之前,先来看看spring是如何构造filte
02.SpringSecurity的应用与工作原理
weixin_43891622的博客
06-04 287
SpringSecurity的简介与框架结构运行原理总览 什么是SpringSecurity Spring全家桶的一员,Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。 核心思想 Spring Security所解决的问题就是安全访问控制,而安全访问控制功能其实就是对所有进入系统的请求进行拦截,校验每个请求是否能够访问它所期望的资源。根据前边知识的学习,可以通过Filter或AOP等技术来实现,Spring Security对Web资源的保
spring security验证流程
qiuqiuit的专栏
02-13 492
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
Spring Security详解(四)认证之鉴权
热门推荐
Jagger的博客
06-22 2万+
4 鉴权 从Spring Security的过滤器链,我们已经发现位于最后的FilterSecurityInterceptor是用来进行权限认证的,这一节将详细分析Spring Security是如何进行权限认证的。 4.1 FilterSecurityInterceptor 源码分析: public class FilterSecurityInterceptor exten...
acegi过滤器
wangchao_17915566的专栏
10-22 121
    最近研究了下acegi,原因是我要进行flex的项目,但是不知道flex的权限如何实现,所以就想到了acegi。     从网上下载了acegi发布的0.8版本的,这个版本所有接口都在net.sf,我使用的是acegi1.7版本,这就面临着根据别人的例子自己做。     首先谈下acegi最重要的acegi filter。     一,httpSessionContextIntegra...
Spring Security 5.1 文 参考手册 文文档
05-16
- Spring Security使用一种强大的表达式语言(EL)进行访问控制,允许开发者在访问控制规则使用复杂的逻辑。5.1版本可能扩展了EL,增加了更多内置函数和变量。 7. **集成**: - Spring Security能够与Spring ...
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码,我们使用 Spring Security 的 Java 配置方式,注册了我们的自定义 AuthenticationProvider 到 Spring Security 。 最后,我们可以在应用程序使用我们的自定义 AuthenticationProvider 进行身份...
SpringSecurity课程文档下载 pdf 教学
05-05
SpringSecurity课程文档下载 pdf 教学
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
Spring Security:介绍 & 初体验 & 源码与日志分析
kaven
12-25 2572
Spring Security 以下介绍来自官方文档: Spring Security Reference Spring Security是一个提供身份验证、授权和针对常见攻击保护的框架,对命令式(Servlet)、反应式(Webflux)应用程序都提供了一流的支持,它是保护基于Spring的应用程序的事实标准。 Spring Security为身份验证提供了全面的支持。身份验证是验证尝试访问特定资源的用户的身份的方式。验证用户身份的常用方法是要求用户输入用户名和密码。一旦执行身份验证,就知道其身份并可
Spring Security学习(三)授权管理器
德玛西亚
03-29 967
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
Spring Security3实践总结
一条宝鱼的专栏
06-03 1347
在线项目最近要对管理系统进行细粒度的权限控制,细化到URL级别。Spring Security3在这个时候引入到了系统总来。Spring Security3的学习曲线并不是非常的平坦。现在将使用场景和使用方法总结如下。 一、需求        做项目肯定要从项目背景和需求谈起。这个在线项目的背景和需求如下: 该项目为一个对外网开发的管理系统,系统功能丰富,需要将系统的功能进行切分
使用Spring SecuritySpring Data Jpa实现的RBAC权限控制
蓝天
08-01 1672
  声明:本文纯属个人随手笔记,如果对您有参考价值我十分开心,如果有存在错误,或者有更好的解决办法也麻烦您留言告诉我,大家共同成长,切勿恶言相。 欢迎加入资源共享QQ群:275343679,一起发现知识、了解知识、学习知识、分享知识。 个人网站:www.itlantian.top ========================================================...
spring security 配置详解
rongdmmap的博客
02-25 804
http://static.springsource.org/spring-security/site/docs/3.0.x/reference/appendix-namespace.html#nsa-form-login     revious versions of the framework when users had to configure the filter ch...
org.springframework.validation.BeanPropertyBindingResult
zjy660358的专栏
01-08 8502
环境 springboot2.4.1 validation 效验post or get 方式表单方式提交转对象,效验出错,不进 MethodArgumentNotValidException or ConstraintViolationException 异常处理。进全局异常处理 异常 org.springframework.validation.BeanPropertyBindingResult: 1 errors Field error in object 'testBe...
springsecuritytoken的作用
最新发布
04-23
Spring Security的token主要用于身份验证和授权。它是一种用于标识用户身份的令牌,由服务器颁发给客户端,客户端在每个请求携带该令牌以证明其身份。通过认证和授权操作,实现了系统的安全性和可控制性。同时,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值