`
kobe学java
  • 浏览: 249943 次
  • 性别: Icon_minigender_1
  • 来自: 苏州
社区版块
存档分类
最新评论

Spring Security 3 基于角色访问控制过程详解

 
阅读更多

访问控制:

由于我们配置了访问控制(授权)的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object)


该方法会将URL传给SecurityMetadataSource获取匹配该URL所有参数ConfigAttribute(拥有权限的角色)的集合。


如果该用户尚未认证(登录),或拦截器配置了“始终认证”,则拦截器会将该用户的登录信息(未登录则跳转到登陆页面)重新认证,并加载角色信息。


随后将用户认证信息(Authentication),用户请求访问的URL,以及配置集合(Collection<ConfigAttribute>)交由accessDecisionManager的decide方法。通过则方法继续,否则抛出AccessDeniedException。


调用runAsManager尝试转换认证信息,这是为了方便适应两层访问控制架构。runAsManager就可以将外部公开的认证,转换为内部认证,继续之后的访问。


之后返回包含访问拦截信息的对象InterceptorStatusToken。以便afterInvocation(InterceptorStatusToken, Object)方法运行。


安全信息元数据提供者:


默认实现DefaultFilterInvocationSecurityMetadataSource构造时通过addSecureUrl(String pattern, String method, Collection<ConfigAttribute> attrs)方法将传入参数转换为私有成员变量Map<String, Map<Object, Collection<ConfigAttribute>>> httpMethodMap缓存,并通过Collection<ConfigAttribute> lookupAttributes(String url, String method)获得第一个能匹配的上的URL模式,并返回其所需要的角色集合Collection<ConfigAttribute>

访问控制管理者:


访问控制管理者AccessDecisionManager需要投票者AccessDecisionVoter列表,调用后者的vote方法。而前者则负责统计所有投票者的投票情况,并做出是否授权的决定。而框架提供了三个统计策略,分别是“只要有一个投票者同意即同意”,“需要所有投票者同意才同意”,“少数服从多数”。分别对应着

AbstractAccessDecisionManager的三个子类AffirmativeBased, UnanimousBased,ConsensusBased。

 

基于角色的投票者


RoleVoter实现了AccessDecisionVoter接口,其vote方法是这样写的。

[java] view plaincopy
  1. public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {  
  2.         int result = ACCESS_ABSTAIN;  
  3.         Collection<GrantedAuthority> authorities = extractAuthorities(authentication);  
  4.   
  5.   
  6.         for (ConfigAttribute attribute : attributes) {  
  7.             if (this.supports(attribute)) {  
  8.                 result = ACCESS_DENIED;  
  9.   
  10.   
  11.                 // 查找匹配角色  
  12.                 for (GrantedAuthority authority : authorities) {  
  13.                     if (attribute.getAttribute().equals(authority.getAuthority())) {  
  14.                         return ACCESS_GRANTED;  
  15.                     }  
  16.                 }  
  17.             }  
  18.         }  
  19.   
  20.   
  21.         return result;  
  22.     }  
  23.   
  24.   
  25. Collection<GrantedAuthority> extractAuthorities(Authentication authentication) {  
  26.         return authentication.getAuthorities();  
  27.     }  





ps:DefaultFilterInvocationSecurityMetadataSource初始化过程详解


Spring Security 3 访问验证模块的初始化,主要是FilterInvocationSecurityMetadataSource对象加载配置信息的过程。

而FilterInvocationSecurityMetadataSource的实现,我选用了框架提供的默认实现DefaultFilterInvocationSecurityMetadataSource。

在DefaultFilterInvocationSecurityMetadataSource 构造的时候,需要UrlMatcher和LinkedHashMap<RequestKey, Collection<ConfigAttribute>>两个参数。
前者是解析Url的匹配器,框架提供两种选择:一个是AntUrlPathMatcher,另一个是正则匹配。当然也可以自己写,只要实现UrlMatcher接口就行。
第二个参数需要提供 所有的请求URL模板,与其对应所有的配置属性(在RBAC系统中即为“角色码”)。

例如:RequestKey为 /user!add**, Collection<ConfigAttribute>为[ROLE_HR, ROLE_ADMIN]。就是说,能有权限访问用户添加模块的角色为HR,和管理员。


在DefaultFilterInvocationSecurityMetadataSource 的构造方法当中,其通过addSecureUrl(String pattern, String method, Collection<ConfigAttribute> attrs)方法将传入参数转换为私有成员变量Map<String, Map<Object, Collection<ConfigAttribute>>> httpMethodMap;
key是Http方法:主要“GET”"和POST",Value是Key的HTTP方法对应的配置属性集合。key为null时,value为不特定方法的配置属性集合。而Value也是一个Map,它的主键是编译后的URL模板,值为各种角色的ConfigAttribute对象。

 

分享到:
| Spring Security 可动态授权RBAC权限模块 ...
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics