spring security 授权方式(自定义)及源码跟踪

技术spring security 授权方式(自定义)及源码跟踪 spring security 授权方式(自定义)及源码跟踪spring security 授权方式(自定义)及源码跟踪
? 这节我们

安全授权模式(自定义)和来源跟踪

spring security 授权方式(自定义)及源码跟踪

?在这一节中,让我们来看看spring security的几种授权方法和简短的源代码跟踪。刚接触spring security的时候,为了实现它的授权,尤其是它的自定义授权,在网上找了很多文章和例子,让我觉得很难。但是现在我试着自己从官方文件和演示中学习,这是相当有益的。

基于表达式Spel的访问控制

?保安用Spring EL做表情支持,不知道Spring EL的童鞋自己学。根据文档https://docs . spring . io/spring-security/site/docs/5 . 4 . 9/reference/html 5/# El-access,检查IDEA中SecurityExpressionRoot类的上下继承关系。SecurityExpressionOperations声明每个表达式接口,最后WebSecurityExpressionRoot和MethodSecurityExpressionRoot实现每个特定的表达式逻辑。继承关系如下:

?在这里,我们可以知道最常用的方式是基于Web\Method对我们的应用进行授权。让我们看一下SecurityExpressionRoot类中定义的最基本的SpEL:

?我们简单介绍几个表达式接口:

Expression

描述

哈希角色(字符串角色)

如果当前主体具有指定的角色,则返回true。

有角色(字符串…角色)

如果当前主体具有任何提供的角色,则返回true。

权限(字符串权限)

如果当前主体具有指定的权限,则返回true。

哈桑亚权限(字符串…权限)

如果当前主体具有任何提供的权限,则返回true。

证明

允许直接访问从SecurityContext获取的当前身份验证对象。

主要的

允许直接访问代表当前用户的主体对象。

授权方式

基于Web/Url的安全表达式

此方法可用于单个或一批Url的安全验证,例如

@覆盖

受保护的无效配置(HttpSecurity http)引发异常{

超文本传送协议(Hyper Text Transport Protocol的缩写)。authorizeRequests()

//对于接口/admin/api/hello,需要p1权限。antMatchers('/admin/api/hello ')。有权限(' p1 ')

//访问/user/api/**的接口需要用户权限。antMatchers('/user/api/** ')。hasRole('USER ')。antMatchers('/app/api/** ')。permitAll()。antMatchers('/css/** ','/index ')。permitAll()。antMatchers('/user/** ')。hasRole('USER ')。和()。表单登录()。登录页面('/login ')。failure URl(“/log in-error”)。permitAll();

}

基于Method的安全表达式

方法安全表达式

方法安全性比简单的允许或拒绝规则稍微复杂一点。春季安全3.0引入了一些新的

nnotations in order to allow comprehensive support for the use of expressions.

Spring Security 3.0 引入了一些新的注解,以便全面支持表达式的使用,分别是@PreAuthorize, @PreFilter, @PostAuthorize and @PostFilter相信大家有web开发的基础,不难知道这几个注解的意思。

  • @PreAuthorize:在访问方法前进行鉴权

  • @PreFilter:同上

  • @PostAuthorize:在访问方法后进行鉴权

  • @PostFiltert:同上

    public class AdminController {
        @GetMapping("hello")
        @PostAuthorize("hasRole('User')")
        public String hello() {
            return "hello, admin";
        }
        @GetMapping("p1")
        @PreAuthorize("hasAuthority('p1')")
        public String p1() {
            return "hello, p1";
        }
    }
    

但是基于方法的需要事先在配置类添加注解,表示开启方法验证。

@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)

根据官网介绍还有其他2中方式(基于AOP 、spring security原生的注释@Secure),有兴趣的小伙伴可以自行参阅https://docs.spring.io/spring-security/site/docs/5.4.9/reference/html5/#secure-object-impls

授权原理

? 根据文档https://docs.spring.io/spring-security/site/docs/5.4.9/reference/html5/#secure-object-impls指出,spring security提供了拦截器来控制安全对象的访问,例如方法调用、web请求。AccessDecisionManager 做出关于是否允许调用继续进行的调用前决定。

? 查看AccessDecisionManager 接口:

decide(Authentication authentication, Object object, CollectionConfigAttribute configAttributes)

参数说明:

  • authentication:当前登录对象主体
  • object: 当前安全保护对象
  • configAttributes:访问当前对象必须要有的权限属性

再看看看它的三个实现类,默认的实现是根据各个实现类的投票机制来决定是否能够访问当前安全保护对象的:

AffirmativeBased:只要configAttributes中有一个权限满足就可以访问当前保护对象

ConsensusBased:满足超过一半的权限就能够访问当前保护对象

UnanimousBased:configAttributes中所有的权限都满足才能访问当前保护对象

由于我们不知道默认是哪个实现类,所以我们在三个类上的decide方法都打上断点,这样我们就能知道默认是哪个实现类了,

内部的投票实现有兴趣的小伙伴自行探索,到这样我们大概就明白spring security默认的授权实现机制了。接着我们根据该机制去实现我们的自定义授权方式。

给出官网的一张原理图

  1. 首先,FilterSecurityInterceptor 从 SecurityContextHolder 获得一个 Authentication
  2. 其次,FilterSecurityInterceptor 从传入 FilterSecurityInterceptor 的 HttpServletRequest、HttpServletResponse 和 FilterChain 创建一个 FilterInvocation
  3. 接下来,它将 FilterInvocation 传递给 SecurityMetadataSource 以获取 ConfigAttributes
  4. 最后,它将 Authentication、FilterInvocation 和 ConfigAttributes 传递给 AccessDecisionManager。
    1. 如果授权被拒绝,则抛出 AccessDeniedException。在这种情况下,ExceptionTranslationFilter 处理 AccessDeniedException
    2. 如果访问被授予,FilterSecurityInterceptor 继续使用允许应用程序正常处理的 FilterChain。

自定义授权方式

? 根据葫芦画瓢,我们首先需要

1、自定义一个AccessDecisionManager实现类,让它确定到底是否能够鉴权通过,能够访问保护对象;

@Component
public class CustomUrlDecisionManager implements AccessDecisionManager {
    @Override
    public void decide(Authentication authentication, Object object, CollectionConfigAttribute configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        for (ConfigAttribute configAttribute : configAttributes) {
            String needRole = configAttribute.getAttribute();
            if ("ROLE_LOGIN".equals(needRole)) {
                if (authentication instanceof AnonymousAuthenticationToken) {
                    throw new AccessDeniedException("尚未登录,请登录!");
                }else {
                    return;
                }
            }
            Collection extends GrantedAuthority authorities = authentication.getAuthorities();
            for (GrantedAuthority authority : authorities) {
                if (authority.getAuthority().equals(needRole)) {
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足,请联系管理员!");
    }
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }
    @Override
    public boolean supports(Class clazz) {
        return true;
    }
}

2、接着实现一个FilterInvocationSecurityMetadataSource实现类,这个类给出访问保护对象具体需要的哪些权限。

/**
 * 这个类的作用,主要是根据用户传来的请求地址,分析出请求需要的角色
 */
@Component
public class CustomFilterInvocationSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    @Autowired
    MenuService menuService;
    AntPathMatcher antPathMatcher = new AntPathMatcher();
    @Override
    public CollectionConfigAttribute getAttributes(Object object) throws IllegalArgumentException {
        String requestUrl = ((FilterInvocation) object).getRequestUrl();
        ListMenu menus = menuService.getAllMenusWithRole();
        for (Menu menu : menus) {
            if (antPathMatcher.match(menu.getUrl(), requestUrl)) {
                ListRole roles = menu.getRoles();
                String[] str = new String[roles.size()];
                for (int i = 0; i  roles.size(); i++) {
                    str[i] = roles.get(i).getName();
                }
                return SecurityConfig.createList(str);
            }
        }
        return SecurityConfig.createList("ROLE_LOGIN");
    }
    @Override
    public CollectionConfigAttribute getAllConfigAttributes() {
        return null;
    }
    @Override
    public boolean supports(Class clazz) {
        return true;
    }
}

3、将上面2个对象添加到拦截器中,给FilterSecurityInterceptor重新设置它的这2个属性

http.authorizeRequests()
        .withObjectPostProcessor(new ObjectPostProcessorFilterSecurityInterceptor() {
            @Override
            public O extends FilterSecurityInterceptor O postProcess(O object) {
                object.setAccessDecisionManager(customUrlDecisionManager);
                object.setSecurityMetadataSource(customFilterInvocationSecurityMetadataSource);
                return object;
            }
        })

? 相信到这里,小伙伴也能根据自己实际项目需要怎样的授权方式去进行实现了,如果是AOP/@secure方式的则需要再看一下文档说明。好了,spring security的章节就到这里,后面继续学习spring security oauth2的章节。

内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/132067.html

(1)

相关推荐

  • 磁盘管理diskcatalogmaker(如何用mac磁盘工具修复磁盘)

    技术DiskCatalogMaker for Mac磁盘管理工具怎么用这篇文章将为大家详细讲解有关DiskCatalogMaker for Mac磁盘管理工具怎么用,文章内容质量较高,因此小编分享给大家做个参考,希望大家

    攻略 2021年12月24日
  • 怎么查看oralce隐含参数并在SQLPLUS窗口格式化输出

    技术怎么查看oralce隐含参数并在SQLPLUS窗口格式化输出这篇文章主要介绍“怎么查看oralce隐含参数并在SQLPLUS窗口格式化输出”,在日常操作中,相信很多人在怎么查看oralce隐含参数并在SQLPLUS窗

    攻略 2021年11月4日
  • javascrip高级前端开发常用的API有哪些

    技术javascrip高级前端开发常用的API有哪些这篇文章主要介绍“javascrip高级前端开发常用的API有哪些”,在日常操作中,相信很多人在javascrip高级前端开发常用的API有哪些问题上存在疑惑,小编查阅

    攻略 2021年11月26日
  • jsp报错问题汇总

    技术jsp报错问题汇总 jsp报错问题汇总一、jsp 页面跳转报错c:forEach items="${map}" var="m"%--取出map的key和value,JSTL提供了一下方式--%${m

    礼包 2021年11月1日
  • 三明治的英语,三明治和汉堡的区别在哪里

    技术三明治的英语,三明治和汉堡的区别在哪里老铁三明治的英语,你分得清三角形和圆形吗?哈哈哈,在壹周君浅薄的认知中,三明治都是三角形的呢,而汉堡都是圆形,他们最大的共通点都是夹夹夹,裹挟着各种配料吃吃吃。 开个玩笑啦,严谨

    生活 2021年10月25日
  • false函数,函数FALSE是什么意思

    技术false函数,函数FALSE是什么意思=VLOOKUP($C$3:$C$100,1月份!$A$2:$D$70,3,FALSE)是一个数组公式,应按“Shift”+“Ctrl”+“Enter”键,公式将变为{=VLO

    生活 2021年10月28日