Spring Security实现自定义访问策略

目录
  • 1.安全注释
  • 2.投票机制
  • 3.配置
  • 4.测验

前言:

我们将探索一个用户共享电子表格的系统,每个电子表格的访问权限单独存储。我们已经尽可能简单地对权限存储进行了显式建模;想象一下,它在调用其他地方的记录系统。请注意,在这个简化的实现中,访问决定是二进制的:要么有访问权,要么没有。在这个实现中,读/写访问权没有区别。

1.安全注释

打开SpreadsheetService会显示一个用@Secured注释的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
  log.info("Reading {}", spreadsheet);
}

@Secured 注解参数是我们要限制的域对象访问的完全限定类名。该方法具有相同类型的参数,这是我们将保护的特定实例。

方便地,@Secured注解不需要按名称引用参数;它可以在我们的AccessDecisionVoter中单独按类型检索。

2.投票机制

访问决策由AccessDecisionManager做出,它将授权给已配置的AccessDecisionVorters列表。投票者可以根据自己的应用程序逻辑选择批准或拒绝特定的方法调用。如果投票人不能决定某个特定的方法调用,它可以选择弃权,将决定权留给其他投票人。默认情况下,您将获得基于确认的访问决策管理器,该管理器允许在只有一个投票人投票授予访问权限时调用方法,而不管是否有投票拒绝访问。

我们的四个目的是,我们需要一个自定义投票者,根据存储的访问记录验证用户对电子表格的访问。我们通过扩展AbstractAclVoter来实现这一点,对于已配置的已处理域对象类和方法调用,AbstractAclVoter可以查找参数域对象实例。我们将实现投票方法,该方法由经过身份验证的用户、安全方法调用和一组ConfigAttributes传递。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
  for (ConfigAttribute configAttribute : attributes) {
    if (supports(configAttribute)) {
      User principal = (User) authentication.getPrincipal();
      Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
      return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
    }
  }
  return ACCESS_ABSTAIN;
}

我们的投票者被传递一个或多个ConfigAttributes,就像传递给@Secured注释本身一样,我们通过调用布尔支持(ConfigAttribute)来验证它:

@Override
public boolean supports(ConfigAttribute attribute) {
  return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考虑到这些实现,只有当ConfigAttribute与配置的ProcessDomainObjectClass不匹配时,投票者才会弃权。根据存储的访问记录,在所有其他情况下,投票人将投票批准或拒绝访问。

3.配置

我们需要配置应用程序的两个部分,以便触发自定义访问决策投票者逻辑。

首先,我们需要通过@EnableGlobalMethodSecurity(securedEnabled=true)激活@Secured注释,这是在AccessDecisionConfiguration中完成的。

其次,我们需要将电子表格AccessDecisionVoter添加到AccessDecisionManager考虑的决策投票者列表中。为此,我们扩展了GlobalMethodSecurity配置以覆盖AccessDecisionManager AccessDecisionManager()。我们称之为super.accessDecisionManager()获取默认的基于确认的访问决策管理器,只需在末尾添加我们自己的投票人。

如果您需要保护多个域对象类型,可以很容易地向列表中添加更多投票者。

4.测验

我们的电子表格AccessDecisionVoterit测试使用模拟用户Alice和Bob,以及恶意的第三用户Eve,他们都试图访问单个电子表格。

我们可以看到,对电子表格的访问遵守每个测试开始时存储的规则:

  • Alice可以访问电子表格。
  • Bob还可以访问电子表格。
  • Eve无法访问电子表格,因为她收到了AccessDeniedException。

到此这篇关于Spring Security实现自定义访问策略的文章就介绍到这了,更多相关Spring Security自定义访问策略内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • Spring Security实现自定义访问策略

    目录 1.安全注释 2.投票机制 3.配置 4.测验 前言: 我们将探索一个用户共享电子表格的系统,每个电子表格的访问权限单独存储.我们已经尽可能简单地对权限存储进行了显式建模:想象一下,它在调用其他地方的记录系统.请注意,在这个简化的实现中,访问决定是二进制的:要么有访问权,要么没有.在这个实现中,读/写访问权没有区别. 1.安全注释 打开SpreadsheetService会显示一个用@Secured注释的方法. @Secured("com.jdriven.model.Spreadsheet

  • Spring Security OAuth 自定义授权方式实现手机验证码

    Spring Security OAuth 默认提供OAuth2.0 的四大基本授权方式(authorization_code\implicit\password\client_credential),除此之外我们也能够自定义授权方式. 先了解一下Spring Security OAuth提供的两个默认 Endpoints,一个是AuthorizationEndpoint,这个是仅用于授权码(authorization_code)和简化(implicit)模式的.另外一个是TokenEndpoi

  • Spring Security基于自定义的认证提供器实现图形验证码流程解析

    目录 前言 一. 认证提供器简介 1. 认证提供器AuthenticationProver 2. WebAuthenticationDetails类介绍 二. 实现图形验证码 1. 添加依赖包 2. 创建Producer对象 3. 创建生成验证码的接口 4. 自定义异常 5. 自定义WebAuthenticationDetails 6. 自定义AuthenticationDetailsSource 7. 自定义DaoAuthenticationProver 8. 添加SecurityConfig

  • Spring Boot中整合Spring Security并自定义验证代码实例

    最终效果 1.实现页面访问权限限制 2.用户角色区分,并按照角色区分页面权限 3.实现在数据库中存储用户信息以及角色信息 4.自定义验证代码 效果如下: 1.免验证页面 2.登陆页面 在用户未登录时,访问任意有权限要求的页面都会自动跳转到登陆页面. 3.需登陆才能查看的页面 用户登陆后,可以正常访问页面资源,同时可以正确显示用户登录名: 4.用户有角色区分,可以指定部分页面只允许有相应用户角色的人使用 4.1.只有ADMIN觉得用户才能查看的页面(权限不足) 4.2.只有ADMIN觉得用户才能查

  • shiro与spring security用自定义异常处理401错误

    目录 shiro与spring security自定义异常处理401 背景 解决方案 SpringBoot整合Shiro自定义filter报错 No SecurityManager accessible to the calling code... 产生原因 解决办法 小结一下 shiro与spring security自定义异常处理401 背景 现在是前后端分离的时代,后端必然要统一处理返回结果,比如定义一个返回对象 public class ResponseData<T> { /** *

  • Spring Security和自定义filter的冲突导致多执行的解决方案

    问题描述: 使用Spring Security时,在WebSecurityConfig中需要通过@bean注解注入Security的filter对象,但是不知是不是因为spring boot框架的原因还是什么未知原因,导致在这里注入,就会多注入一次这个对象,导致filter链走完之后,又会回到这个filter中再执行一次. @Bean public JwtAuthenticationTokenFilter authenticationTokenFilterBean() throws Except

  • spring Security的自定义用户认证过程详解

    首先我需要在xml文件中声明.我要进行自定义用户的认证类,也就是我要自己从数据库中进行查询 <http pattern="/*.html" security="none"/> <http pattern="/css/**" security="none"/> <http pattern="/img/**" security="none"/> <h

  • Spring Security自定义登录原理及实现详解

    1. 前言 前面的关于 Spring Security 相关的文章只是一个预热.为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列 开始.安全访问的第一步就是认证(Authentication),认证的第一步就是登录.今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能. 2. form 登录的流程 下面是 form 登录的基本流程: 只要是 form 登录基本都能转化为上面的流程.接下来我们看看 Spring

  • Spring Security验证流程剖析及自定义验证方法

    Spring Security的本质 Spring Security 本质上是一连串的 Filter , 然后又以一个独立的 Filter 的形式插入到 Filter Chain 里,其名为 FilterChainProxy . 如图所示. 实际上 FilterChainProxy 下面可以有多条 Filter Chain ,来针对不同的URL做验证,而 Filter Chain 中所拥有的 Filter 则会根据定义的服务自动增减.所以无需要显示再定义这些 Filter ,除非想要实现自己的逻

  • Spring security 如何开放 Swagger 访问权限

    目录 Spring security 开放 Swagger 访问权限 开放这四个目录 spring boot 加入拦截器后swagger不能访问 原因分析 网上找的资料中大部分只说添加这个 或者只添加 Spring security 开放 Swagger 访问权限 开放这四个目录 搞定 .antMatchers("/swagger-ui.html").permitAll() .antMatchers("/webjars/**").permitAll() .antMa

随机推荐