溫馨提示×
您好,登錄后才能下訂單哦!
點擊 登錄注冊 即表示同意《億速云用戶服務條款》
您好,登錄后才能下訂單哦!
在spring中利用security怎么實現自定義決策管理器?針對這個問題,這篇文章詳細介紹了相對應的分析和解答,希望可以幫助更多想解決這個問題的小伙伴找到更簡單易行的方法。
首先介紹下Spring的決策管理器,其接口為AccessDecisionManager,抽象類為AbstractAccessDecisionManager。而我們要自定義決策管理器的話一般是繼承抽象類而不去直接實現接口。
在Spring中引入了投票器(AccessDecisionVoter)的概念,有無權限訪問的最終覺得權是由投票器來決定的,最常見的投票器為RoleVoter,在RoleVoter中定義了權限的前綴,先看下Spring在RoleVoter中是怎么處理授權的。
public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
int result = ACCESS_ABSTAIN;
Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);
for (ConfigAttribute attribute : attributes) {
if (this.supports(attribute)) {
result = ACCESS_DENIED;
// Attempt to find a matching granted authority
for (GrantedAuthority authority : authorities) {
if (attribute.getAttribute().equals(authority.getAuthority())) {
return ACCESS_GRANTED;
}
}
}
}
return result;
}
Collection<? extends GrantedAuthority> extractAuthorities(Authentication authentication) {
return authentication.getAuthorities();
} Authentication中是用戶及用戶權限信息,attributes是訪問資源需要的權限,然后循環判斷用戶是否有訪問資源需要的權限,如果有就返回ACCESS_GRANTED,通俗的說就是有權限。
Spring提供了3個決策管理器,至于這三個管理器是如何工作的請查看SpringSecurity源碼
AffirmativeBased 一票通過,只要有一個投票器通過就允許訪問
ConsensusBased 有一半以上投票器通過才允許訪問資源
UnanimousBased 所有投票器都通過才允許訪問
下面來實現一個簡單的自定義決策管理器,這個決策管理器并沒有使用投票器
public class DefaultAccessDecisionManager extends AbstractAccessDecisionManager {
public void decide( Authentication authentication, Object object,
Collection<ConfigAttribute> configAttributes)
throws AccessDeniedException, InsufficientAuthenticationException{
SysUser user = (SysUser)authentication.getPrincipal();
logger.info("訪問資源的用戶為"+user.getUsername());
//如果訪問資源不需要任何權限則直接通過
if( configAttributes == null ) {
return ;
}
Iterator<ConfigAttribute> ite = configAttributes.iterator();
//遍歷configAttributes看用戶是否有訪問資源的權限
while( ite.hasNext()){
ConfigAttribute ca = ite.next();
String needRole = ((SecurityConfig)ca).getAttribute();
//ga 為用戶所被賦予的權限。 needRole 為訪問相應的資源應該具有的權限。
for( GrantedAuthority ga: authentication.getAuthorities()){
if(needRole.trim().equals(ga.getAuthority().trim())){
return;
}
}
}
throw new AccessDeniedException("");
}
} decide這個方法沒有任何的返回值,需要在沒有通過授權時拋出AccessDeniedException。
如果有訪問某個資源需要同時擁有兩個或兩個以上權限的情況,這時候就要通過自定義AccessDecisionVoter來實現了,這個也很簡單在這里就不贅述了。如果要在頁面中使用hasRole()這樣的表達式就需要注入WebExpressionVoter了。
在SpringSecurity中自定義權限前綴
權限的前綴默認是ROLE_,網上的很多例子是說,直接在配置文件中加上下面的配置就可以了。
<bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter"> <property name="rolePrefix" value="AUTH_"></property> </bean>
親測不管用的,我想應該不是我配置的問題,而是在我們配置了http auto-config="true"Spring就已經將AccessDecisionManager初始化好了,即便配置到之前也不行,因為這個初始化是Spring自己來完成的,它并沒有把你配置的roleVoter注入到AccessDecisionManager中。那我們就來手動的注入AccessDecisionManager吧。
在http配置中有個access-decision-manager-ref屬性,可以使我們手動注入AccessDecisionManager,下面是詳細配置
<sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">
<sec:access-denied-handler ref="accessDeniedHandler"/>
<sec:session-management invalid-session-url="/login.jsp" />
<sec:intercept-url pattern="/app.jsp" access="AUTH_GG_FBGBGG"/>
<sec:intercept-url pattern="/**" access="IS_AUTHENTICATED_FULLY" />
<sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp"
default-target-url="/index.jsp"/>
</sec:http>
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<constructor-arg name="decisionVoters">
<list>
<ref bean="roleVoter"/>
<ref bean="authenticatedVoter"/>
</list>
</constructor-arg>
<property name="messageSource" ref="messageSource"></property>
</bean>
<bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
<property name="rolePrefix" value=""></property>
</bean>
<bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter" /> 在這里我們就不用自定義的AccessDecisionManager了,直接用Spring的AffirmativeBased,因為Spring本身提供的這些決策管理器就已經很強大了。
配置很簡單,要想修改權限的前綴只需要修改roleVoter中的rolePrefix就可以了,如果不要前綴就讓它為“”。
authenticatedVoter是為了支持IS_AUTHENTICATED這種認證,authenticatedVoter提供的3種認證,分別是
IS_AUTHENTICATED_ANONYMOUSLY 允許匿名用戶進入
IS_AUTHENTICATED_FULLY 允許登錄用戶進入
IS_AUTHENTICATED_REMEMBERED 允許登錄用戶和rememberMe用戶進入
關于在spring中利用security怎么實現自定義決策管理器問題的解答就分享到這里了,希望以上內容可以對大家有一定的幫助,如果你還有很多疑惑沒有解開,可以關注億速云行業資訊頻道了解更多相關知識。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。
