您好,登錄后才能下訂單哦!
本篇內(nèi)容主要講解“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”,感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷,實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”吧!
前言:
我們將探索一個(gè)用戶共享電子表格的系統(tǒng),每個(gè)電子表格的訪問(wèn)權(quán)限單獨(dú)存儲(chǔ)。我們已經(jīng)盡可能簡(jiǎn)單地對(duì)權(quán)限存儲(chǔ)進(jìn)行了顯式建模;想象一下,它在調(diào)用其他地方的記錄系統(tǒng)。請(qǐng)注意,在這個(gè)簡(jiǎn)化的實(shí)現(xiàn)中,訪問(wèn)決定是二進(jìn)制的:要么有訪問(wèn)權(quán),要么沒(méi)有。在這個(gè)實(shí)現(xiàn)中,讀/寫(xiě)訪問(wèn)權(quán)沒(méi)有區(qū)別。
打開(kāi)SpreadsheetService
會(huì)顯示一個(gè)用@Secured
注釋的方法。
@Secured("com.jdriven.model.Spreadsheet") public void read(Spreadsheet spreadsheet) { log.info("Reading {}", spreadsheet); }
@Secured
注解參數(shù)是我們要限制的域?qū)ο笤L問(wèn)的完全限定類名。該方法具有相同類型的參數(shù),這是我們將保護(hù)的特定實(shí)例。
方便地,@Secured
注解不需要按名稱引用參數(shù);它可以在我們的AccessDecisionVoter
中單獨(dú)按類型檢索。
訪問(wèn)決策由AccessDecisionManager
做出,它將授權(quán)給已配置的AccessDecisionVorters
列表。投票者可以根據(jù)自己的應(yīng)用程序邏輯選擇批準(zhǔn)或拒絕特定的方法調(diào)用。如果投票人不能決定某個(gè)特定的方法調(diào)用,它可以選擇棄權(quán),將決定權(quán)留給其他投票人。默認(rèn)情況下,您將獲得基于確認(rèn)的訪問(wèn)決策管理器,該管理器允許在只有一個(gè)投票人投票授予訪問(wèn)權(quán)限時(shí)調(diào)用方法,而不管是否有投票拒絕訪問(wèn)。
我們的四個(gè)目的是,我們需要一個(gè)自定義投票者,根據(jù)存儲(chǔ)的訪問(wèn)記錄驗(yàn)證用戶對(duì)電子表格的訪問(wèn)。我們通過(guò)擴(kuò)展AbstractAclVoter來(lái)實(shí)現(xiàn)這一點(diǎn),對(duì)于已配置的已處理域?qū)ο箢惡头椒ㄕ{(diào)用,AbstractAclVoter
可以查找參數(shù)域?qū)ο髮?shí)例。我們將實(shí)現(xiàn)投票方法,該方法由經(jīng)過(guò)身份驗(yàn)證的用戶、安全方法調(diào)用和一組ConfigAttributes
傳遞。
@Override public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) { for (ConfigAttribute configAttribute : attributes) { if (supports(configAttribute)) { User principal = (User) authentication.getPrincipal(); Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation); return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED; } } return ACCESS_ABSTAIN; }
我們的投票者被傳遞一個(gè)或多個(gè)ConfigAttributes
,就像傳遞給@Secured注釋本身一樣,我們通過(guò)調(diào)用布爾支持(ConfigAttribute)來(lái)驗(yàn)證它:
@Override public boolean supports(ConfigAttribute attribute) { return getProcessDomainObjectClass().getName().equals(attribute.getAttribute()); }
考慮到這些實(shí)現(xiàn),只有當(dāng)ConfigAttribute
與配置的ProcessDomainObjectClass不匹配時(shí),投票者才會(huì)棄權(quán)。根據(jù)存儲(chǔ)的訪問(wèn)記錄,在所有其他情況下,投票人將投票批準(zhǔn)或拒絕訪問(wèn)。
我們需要配置應(yīng)用程序的兩個(gè)部分,以便觸發(fā)自定義訪問(wèn)決策投票者邏輯。
首先,我們需要通過(guò)@EnableGlobalMethodSecurity(securedEnabled=true)
激活@Secured
注釋,這是在AccessDecisionConfiguration
中完成的。
其次,我們需要將電子表格AccessDecisionVoter
添加到AccessDecisionManager
考慮的決策投票者列表中。為此,我們擴(kuò)展了GlobalMethodSecurity
配置以覆蓋AccessDecisionManager AccessDecisionManager()
。我們稱之為super.accessDecisionManager()獲取默認(rèn)的基于確認(rèn)的訪問(wèn)決策管理器,只需在末尾添加我們自己的投票人。
如果您需要保護(hù)多個(gè)域?qū)ο箢愋?,可以很容易地向列表中添加更多投票者?/p>
我們的電子表格AccessDecisionVoterit
測(cè)試使用模擬用戶Alice和Bob,以及惡意的第三用戶Eve,他們都試圖訪問(wèn)單個(gè)電子表格。
我們可以看到,對(duì)電子表格的訪問(wèn)遵守每個(gè)測(cè)試開(kāi)始時(shí)存儲(chǔ)的規(guī)則:
Alice可以訪問(wèn)電子表格。
Bob還可以訪問(wèn)電子表格。
Eve無(wú)法訪問(wèn)電子表格,因?yàn)樗盏搅薃ccessDeniedException。
到此,相信大家對(duì)“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”有了更深的了解,不妨來(lái)實(shí)際操作一番吧!這里是億速云網(wǎng)站,更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢,關(guān)注我們,繼續(xù)學(xué)習(xí)!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。