Spring?Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略

本篇內(nèi)容主要講解“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”，感興趣的朋友不妨來(lái)看看。本文介紹的方法操作簡(jiǎn)單快捷，實(shí)用性強(qiáng)。下面就讓小編來(lái)帶大家學(xué)習(xí)“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”吧!

前言：

我們將探索一個(gè)用戶共享電子表格的系統(tǒng)，每個(gè)電子表格的訪問(wèn)權(quán)限單獨(dú)存儲(chǔ)。我們已經(jīng)盡可能簡(jiǎn)單地對(duì)權(quán)限存儲(chǔ)進(jìn)行了顯式建模；想象一下，它在調(diào)用其他地方的記錄系統(tǒng)。請(qǐng)注意，在這個(gè)簡(jiǎn)化的實(shí)現(xiàn)中，訪問(wèn)決定是二進(jìn)制的：要么有訪問(wèn)權(quán)，要么沒(méi)有。在這個(gè)實(shí)現(xiàn)中，讀/寫(xiě)訪問(wèn)權(quán)沒(méi)有區(qū)別。

1.安全注釋

打開(kāi)SpreadsheetService會(huì)顯示一個(gè)用@Secured注釋的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
  log.info("Reading {}", spreadsheet);
}

@Secured 注解參數(shù)是我們要限制的域?qū)ο笤L問(wèn)的完全限定類名。該方法具有相同類型的參數(shù)，這是我們將保護(hù)的特定實(shí)例。

方便地，@Secured注解不需要按名稱引用參數(shù)；它可以在我們的AccessDecisionVoter中單獨(dú)按類型檢索。

2.投票機(jī)制

訪問(wèn)決策由AccessDecisionManager做出，它將授權(quán)給已配置的AccessDecisionVorters列表。投票者可以根據(jù)自己的應(yīng)用程序邏輯選擇批準(zhǔn)或拒絕特定的方法調(diào)用。如果投票人不能決定某個(gè)特定的方法調(diào)用，它可以選擇棄權(quán)，將決定權(quán)留給其他投票人。默認(rèn)情況下，您將獲得基于確認(rèn)的訪問(wèn)決策管理器，該管理器允許在只有一個(gè)投票人投票授予訪問(wèn)權(quán)限時(shí)調(diào)用方法，而不管是否有投票拒絕訪問(wèn)。

我們的四個(gè)目的是，我們需要一個(gè)自定義投票者，根據(jù)存儲(chǔ)的訪問(wèn)記錄驗(yàn)證用戶對(duì)電子表格的訪問(wèn)。我們通過(guò)擴(kuò)展AbstractAclVoter來(lái)實(shí)現(xiàn)這一點(diǎn)，對(duì)于已配置的已處理域?qū)ο箢惡头椒ㄕ{(diào)用，AbstractAclVoter可以查找參數(shù)域?qū)ο髮?shí)例。我們將實(shí)現(xiàn)投票方法，該方法由經(jīng)過(guò)身份驗(yàn)證的用戶、安全方法調(diào)用和一組ConfigAttributes傳遞。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
  for (ConfigAttribute configAttribute : attributes) {
    if (supports(configAttribute)) {
      User principal = (User) authentication.getPrincipal();
      Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
      return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
    }
  }
  return ACCESS_ABSTAIN;
}

我們的投票者被傳遞一個(gè)或多個(gè)ConfigAttributes，就像傳遞給@Secured注釋本身一樣，我們通過(guò)調(diào)用布爾支持（ConfigAttribute）來(lái)驗(yàn)證它：

@Override
public boolean supports(ConfigAttribute attribute) {
  return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考慮到這些實(shí)現(xiàn)，只有當(dāng)ConfigAttribute與配置的ProcessDomainObjectClass不匹配時(shí)，投票者才會(huì)棄權(quán)。根據(jù)存儲(chǔ)的訪問(wèn)記錄，在所有其他情況下，投票人將投票批準(zhǔn)或拒絕訪問(wèn)。

3.配置

我們需要配置應(yīng)用程序的兩個(gè)部分，以便觸發(fā)自定義訪問(wèn)決策投票者邏輯。

首先,我們需要通過(guò)@EnableGlobalMethodSecurity（securedEnabled=true）激活@Secured注釋，這是在AccessDecisionConfiguration中完成的。

其次，我們需要將電子表格AccessDecisionVoter添加到AccessDecisionManager考慮的決策投票者列表中。為此，我們擴(kuò)展了GlobalMethodSecurity配置以覆蓋AccessDecisionManager AccessDecisionManager（）。我們稱之為super.accessDecisionManager（）獲取默認(rèn)的基于確認(rèn)的訪問(wèn)決策管理器，只需在末尾添加我們自己的投票人。

如果您需要保護(hù)多個(gè)域?qū)ο箢愋?，可以很容易地向列表中添加更多投票者?/p>

4.測(cè)驗(yàn)

我們的電子表格AccessDecisionVoterit測(cè)試使用模擬用戶Alice和Bob，以及惡意的第三用戶Eve，他們都試圖訪問(wèn)單個(gè)電子表格。

我們可以看到，對(duì)電子表格的訪問(wèn)遵守每個(gè)測(cè)試開(kāi)始時(shí)存儲(chǔ)的規(guī)則：

• Alice可以訪問(wèn)電子表格。

• Bob還可以訪問(wèn)電子表格。

• Eve無(wú)法訪問(wèn)電子表格，因?yàn)樗盏搅薃ccessDeniedException。

到此，相信大家對(duì)“Spring Security怎么實(shí)現(xiàn)自定義訪問(wèn)策略”有了更深的了解，不妨來(lái)實(shí)際操作一番吧！這里是億速云網(wǎng)站，更多相關(guān)內(nèi)容可以進(jìn)入相關(guān)頻道進(jìn)行查詢，關(guān)注我們，繼續(xù)學(xué)習(xí)！