2. 程式人生 > >Spring Security原理學習--許可權校驗(四)

Spring Security原理學習--許可權校驗(四)

阿新 發佈:2019-01-03

      在上一篇部落格Spring Security原理學習--使用者名稱和密碼認證(三)中我們已經瞭解到Spring Security關於使用者名稱和密碼在UsernamePasswordAuthenticationFilter中的認證處理邏輯,接下來我們看看許可權的校驗處理。

      Spring Security許可權角色的校驗處理是在FilterSecurityInterceptor過濾器中進行處理的,在invoke方法中,呼叫父類的beforeInvocation方法對請求進行許可權角色校驗。

public void doFilter(ServletRequest request, ServletResponse response,
			FilterChain chain) throws IOException, ServletException {
		FilterInvocation fi = new FilterInvocation(request, response, chain);
		invoke(fi);
	}

在invoke方法中會呼叫父類AbstractSecurityInterceptor的beforeInvocation對Authentication物件進行身份校驗。

public void invoke(FilterInvocation fi) throws IOException, ServletException {
		if ((fi.getRequest() != null)
				&& (fi.getRequest().getAttribute(FILTER_APPLIED) != null)
				&& observeOncePerRequest) {
			// filter already applied to this request and user wants us to observe
			// once-per-request handling, so don't re-do security checking
			fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
		}
		else {
			// first time this request being called, so perform security checking
			if (fi.getRequest() != null) {
				fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);
			}
			//呼叫父類的beforeInvocation進行身份校驗
			InterceptorStatusToken token = super.beforeInvocation(fi);

			try {
				fi.getChain().doFilter(fi.getRequest(), fi.getResponse());
			}
			finally {
				super.finallyInvocation(token);
			}

			super.afterInvocation(token, null);
		}
	}

在beforeInvocation中叫呼叫介面AccessDecisionManager的實現類,校驗角色。

protected InterceptorStatusToken beforeInvocation(Object object) {
		
		//省略部分程式碼
		
		//獲取當前執行緒的Authentication物件
		Authentication authenticated = authenticateIfRequired();

		// Attempt authorization
		try {
			//許可權角色校驗
			this.accessDecisionManager.decide(authenticated, object, attributes);
		}
		//校驗失敗丟擲異常
		catch (AccessDeniedException accessDeniedException) {
			publishEvent(new AuthorizationFailureEvent(object, attributes, authenticated,
					accessDeniedException));

			throw accessDeniedException;
		}

		//省略部分程式碼
	}

最終呼叫子類AffirmativeBased的decide方法,在decide方法中會獲取AccessDecisionVoter對許可權進行投票處理,獲取投票結果,當投票結果是1時則表示有許可權,否則等於-1表示沒有許可權,拒絕。

public void decide(Authentication authentication, Object object,
			Collection<ConfigAttribute> configAttributes) throws AccessDeniedException {
		int deny = 0;

		for (AccessDecisionVoter voter : getDecisionVoters()) {
            //投票獲取結果
			int result = voter.vote(authentication, object, configAttributes);

			if (logger.isDebugEnabled()) {
				logger.debug("Voter: " + voter + ", returned: " + result);
			}
            //當有許可權時直接返回
			switch (result) {
			case AccessDecisionVoter.ACCESS_GRANTED:
				return;
            //否則拒絕
			case AccessDecisionVoter.ACCESS_DENIED:
				deny++;

				break;

			default:
				break;
			}
		}
        //
		if (deny > 0) {
			throw new AccessDeniedException(messages.getMessage(
					"AbstractAccessDecisionManager.accessDenied", "Access is denied"));
		}

		// To get this far, every AccessDecisionVoter abstained
		checkAllowIfAllAbstainDecisions();
	}

在實現類WebExpressionVoter會根據authentication結果進行校驗判斷,根據Authentication物件建立介面SecurityExpressionOperations的實現類SecurityExpressionRoot

(1)當請求url被配置為permitAll,則直接返回true,校驗通過

(2)其他需要登入請求url會呼叫isAuthenticated方法,最終呼叫AuthenticationTrustResolver的AuthenticationTrustResolverImpl的方法進行判斷

public abstract class SecurityExpressionRoot implements SecurityExpressionOperations {
	protected final Authentication authentication;
	private AuthenticationTrustResolver trustResolver;
	private RoleHierarchy roleHierarchy;
	private Set<String> roles;
	private String defaultRolePrefix = "ROLE_";

	/** Allows "permitAll" expression */
	public final boolean permitAll = true;

	/** Allows "denyAll" expression */
	public final boolean denyAll = false;
	private PermissionEvaluator permissionEvaluator;
	public final String read = "read";
	public final String write = "write";
	public final String create = "create";
	public final String delete = "delete";
	public final String admin = "administration";

	/**
	 * Creates a new instance
	 * @param authentication the {@link Authentication} to use. Cannot be null.
	 */
	public SecurityExpressionRoot(Authentication authentication) {
		if (authentication == null) {
			throw new IllegalArgumentException("Authentication object cannot be null");
		}
		this.authentication = authentication;
	}

	public final boolean hasAuthority(String authority) {
		return hasAnyAuthority(authority);
	}

	public final boolean hasAnyAuthority(String... authorities) {
		return hasAnyAuthorityName(null, authorities);
	}

	public final boolean hasRole(String role) {
		return hasAnyRole(role);
	}

	public final boolean hasAnyRole(String... roles) {
		return hasAnyAuthorityName(defaultRolePrefix, roles);
	}

	private boolean hasAnyAuthorityName(String prefix, String... roles) {
		Set<String> roleSet = getAuthoritySet();

		for (String role : roles) {
			String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
			if (roleSet.contains(defaultedRole)) {
				return true;
			}
		}

		return false;
	}

	public final Authentication getAuthentication() {
		return authentication;
	}

	public final boolean permitAll() {
		return true;
	}

	public final boolean denyAll() {
		return false;
	}

	public final boolean isAnonymous() {
		return trustResolver.isAnonymous(authentication);
	}

	public final boolean isAuthenticated() {
		return !isAnonymous();
	}

	public final boolean isRememberMe() {
		return trustResolver.isRememberMe(authentication);
	}

	public final boolean isFullyAuthenticated() {
		return !trustResolver.isAnonymous(authentication)
				&& !trustResolver.isRememberMe(authentication);
	}

	/**
	 * Convenience method to access {@link Authentication#getPrincipal()} from
	 * {@link #getAuthentication()}
	 * @return
	 */
	public Object getPrincipal() {
		return authentication.getPrincipal();
	}

	public void setTrustResolver(AuthenticationTrustResolver trustResolver) {
		this.trustResolver = trustResolver;
	}

	public void setRoleHierarchy(RoleHierarchy roleHierarchy) {
		this.roleHierarchy = roleHierarchy;
	}

	/**
	 * <p>
	 * Sets the default prefix to be added to {@link #hasAnyRole(String...)} or
	 * {@link #hasRole(String)}. For example, if hasRole("ADMIN") or hasRole("ROLE_ADMIN")
	 * is passed in, then the role ROLE_ADMIN will be used when the defaultRolePrefix is
	 * "ROLE_" (default).
	 * </p>
	 *
	 * <p>
	 * If null or empty, then no default role prefix is used.
	 * </p>
	 *
	 * @param defaultRolePrefix the default prefix to add to roles. Default "ROLE_".
	 */
	public void setDefaultRolePrefix(String defaultRolePrefix) {
		this.defaultRolePrefix = defaultRolePrefix;
	}

	private Set<String> getAuthoritySet() {
		if (roles == null) {
			roles = new HashSet<String>();
			Collection<? extends GrantedAuthority> userAuthorities = authentication
					.getAuthorities();

			if (roleHierarchy != null) {
				userAuthorities = roleHierarchy
						.getReachableGrantedAuthorities(userAuthorities);
			}

			roles = AuthorityUtils.authorityListToSet(userAuthorities);
		}

		return roles;
	}

	public boolean hasPermission(Object target, Object permission) {
		return permissionEvaluator.hasPermission(authentication, target, permission);
	}

	public boolean hasPermission(Object targetId, String targetType, Object permission) {
		return permissionEvaluator.hasPermission(authentication, (Serializable) targetId,
				targetType, permission);
	}

	public void setPermissionEvaluator(PermissionEvaluator permissionEvaluator) {
		this.permissionEvaluator = permissionEvaluator;
	}

	/**
	 * Prefixes role with defaultRolePrefix if defaultRolePrefix is non-null and if role
	 * does not already start with defaultRolePrefix.
	 *
	 * @param defaultRolePrefix
	 * @param role
	 * @return
	 */
	private static String getRoleWithDefaultPrefix(String defaultRolePrefix, String role) {
		if (role == null) {
			return role;
		}
		if (defaultRolePrefix == null || defaultRolePrefix.length() == 0) {
			return role;
		}
		if (role.startsWith(defaultRolePrefix)) {
			return role;
		}
		return defaultRolePrefix + role;
	}
}

在AuthenticationTrustResolverImpl方法isAnonymous中就是判斷傳遞過來的Authentication物件是不是AnonymousAuthenticationToken,如果是AnonymousAuthenticationToken則表示沒有登入,因為登入之後生成的物件是UsernamePasswordAuthenticationToken或其他Authentication物件,這也是Spring Security設計的最精華也是最難以理解也是最簡單的方式。

private Class<? extends Authentication> anonymousClass = AnonymousAuthenticationToken.class;

	public boolean isAnonymous(Authentication authentication) {
		if ((anonymousClass == null) || (authentication == null)) {
			return false;
		}

		return anonymousClass.isAssignableFrom(authentication.getClass());
	}

總結:Spring Security對url的許可權判斷有兩種方式,一種是請求是permitAll的則直接返回校驗通過,另外一個是判斷Authentication是不是AnonymousAuthenticationToken,因為正常登入等產生的不是這個物件,如果不是這個型別的物件則表示登入成功了。

相關推薦

Spring Security原理學習--許可權()

      在上一篇部落格Spring Security原理學習--使用者名稱和密碼認證(三)中我們已經瞭解到Spring Security關於使用者名稱和密碼在UsernamePasswordAuthenticationFilter中的認證處理邏輯,接下來我們看看許可權的校

Spring Security原理學習--簡介與示例(一)

一、簡介 Spring Security 提供了基於javaEE的企業應有個你軟體全面的安全服務。這裡特別強調支援使用SPring框架構件的專案,Spring框架是企業軟體開發javaEE方案的領導者。如果你還沒有使用Spring來開發企業應用程式,我們熱忱的鼓

Spring AOP 實現功能許可權功能

實現功能許可權校驗的功能有多種方法,其一使用攔截器攔截請求,其二是使用AOP拋異常。 首先用攔截器實現未登入時跳轉到登入介面的功能。注意這裡沒有使用AOP切入,而是用攔截器攔截,因為AOP一般切入的是service層方法,而攔截器是攔截控制器層的請求,它本身也

Spring Security原理學習--核心過濾器Filter(二)

在上一篇部落格Spring Security原理學習--簡介與示例(一)中已經簡單介紹了Spring Security相關的東西, 這篇部落格我們介紹一下Spring Security相關的實現機制  。首先Spring Security的認證功能是依賴Filter實現的,當

spring security原理-學習筆記1-整體概覽

整體概述 執行時環境 Spring Security 3.0需要Java 5.0 Runtime Environment或更高版本。 核心元件 SecurityContextHolder,SecurityContext和Authentication Objects 最基本的物件是SecurityContext

spring security原理-學習筆記2-核心元件

核心元件 AuthenticationManager,ProviderManager和AuthenticationProvider AuthenticationManager只是一個介面,實際中是如何運作的?如果我們需要檢查多個身份驗證資料庫或不同身份驗證服務(如資料庫和LDAP伺服器)的組合,該怎麼辦? S

十章:Spring MVC框架之資料14

第十二章 資料校驗 在Web應用三層架構體系中,表述層負責接收瀏覽器提交的資料,業務邏輯層負責資料的處理。為了能夠讓業務邏輯層基於正確的資料進行處理,我們需要在表述層對資料進行檢查,將錯誤的資料隔絕在業務邏輯層之外。 1.校驗概述 JSR 303是Java為Bean資料合法性

Spring cloud微服務實戰(二)——Zuul整合Swagger2及許可權

一、前言 ##二、 整合Swagger2 Swagger2大家肯定都用過,為什麼我在這裡還要提到呢,因為各個微服務都會提供自己的API文件,我們總不能一個地址一個地址去查吧,能不能有個統一的入口呢。這就是這節要講的。 2.1 Zuul整合Swagger2 其他

shiro + mybatis+ spring (只用shiro的密碼和併發剔除)——不用許可權之類

</pre>          shiro很強大,但往往專案不可能大改造,往往只需要部分功能,比如用到驗證碼,加密,還有就是同一個賬戶在兩個地方登入,剔除第一個登入者,本文只提供思路和部分程式碼,<p></p><p><

springboot學習總結(九)Spring security原理淺談

學習 security uwp manage adg aac dsi sin aci 認證是由 AuthenticationManager 來管理的,但是真正進行認證的是 AuthenticationManager 中定義的 AuthenticationProvider。A

Spring Validation最佳實踐及其實現原理,引數沒那麼簡單!

之前也寫過一篇關於`Spring Validation`使用的文章,不過自我感覺還是浮於表面,本次打算徹底搞懂`Spring Validation`。本文會詳細介紹`Spring Validation`各種場景下的最佳實踐及其實現原理,死磕到底! 專案原始碼:[spring-validation](https

Spring Security原理與應用

能夠 log 依賴 mov 功能 () catch word 基本 Spring Security是什麽 Spring Security是一個能夠為基於Spring的企業應用系統提供聲明式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Be

spring實戰-Spring-security實現使用者許可權認證登入

第八篇:Spring-security實現使用者許可權認證登入 spring-security原本是Acegi Security元件,該元件是一個強大的安全框架,但是使用方式很繁瑣,要配置幾百行XML。整合進Spring後,就可以通過xml或者JavaConfig的方式,很容易的就實現了系統

Spring基礎系列-參數

nsh 們的 res 誤報 內部 主頁 定位 person big 原創作品,可以轉載,但是請標註出處地址:https://www.cnblogs.com/V1haoge/p/9953744.html Spring中使用參數校驗 概述 ? JSR 303中提出了Bean V

服務閘道器 Zuul 與 Redis 結合實現 Token 許可權

這兩天在寫專案的全域性許可權校驗,用 Zuul 作為服務閘道器,在 Zuul 的前置過濾器裡做的校驗。 許可權校驗或者身份驗證就不得不提 Token,目前 Token 的驗證方式有很多種,有生成 Token 後將 Token 儲存在 Redis 或資料庫的,也有很多用 JWT(JSON Web Token)

springboot使用Spring Security+OAuth2做許可權控制

文章來源:http://lxgandlz.cn/404.html     前面有一篇文章Spring+Spring Security+OAuth2實現REST API許可權控制,講了Spring+Spring Security+OAuth2來實現REST API許可權

spring aop 原理學習

@EnableAspectJAutoProxy: @Import(AspectJAutoProxyRegistrar.class) 實際是建立了一個以org.springframework.aop.config.internalAutoProxyCreator為beanid的例項AnnotationAware

筆記-spring aop 原理學習2

InstantiationAwareBeanPostProcessor AnnotationAwareAspectJAutoProxyCreator https://blog.csdn.net/qq_27529917/article/details/78454912 /** 擴充套件原理: Bea

Spring Security學習

xl_echo編輯整理,歡迎轉載,轉載請宣告文章來源。更多IT、程式設計案例、資料請聯絡QQ:1280023003 百戰不敗,依不自稱常勝,百敗不頹,依能奮力前行。——這才是真正的堪稱強大!! 本文轉載自:https://blog.csdn.net/u012517198/ar

01-Spring Security框架學習

01-Spring Security框架學習 簡介 Spring Security 是什麼 Spring Security 解決那些問題 Spring Secu