Spring Security实现自定义访问策略
前言:
我们将探索一个用户共享电子表格的系统,每个电子表格的访问权限单独存储。我们已经尽可能简单地对权限存储进行了显式建模;想象一下,它在调用其他地方的记录系统。请注意,在这个简化的实现中,访问决定是二进制的:要么有访问权,要么没有。在这个实现中,读/写访问权没有区别。
1.安全注释
打开SpreadsheetService会显示一个用@Secured注释的方法。
@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
log.info("Reading {}", spreadsheet);
}@Secured 注解参数是我们要限制的域对象访问的完全限定类名。该方法具有相同类型的参数,这是我们将保护的特定实例。
方便地,@Secured注解不需要按名称引用参数;它可以在我们的AccessDecisionVoter中单独按类型检索。
2.投票机制
访问决策由AccessDecisionManager做出,它将授权给已配置的AccessDecisionVorters列表。投票者可以根据自己的应用程序逻辑选择批准或拒绝特定的方法调用。如果投票人不能决定某个特定的方法调用,它可以选择弃权,将决定权留给其他投票人。默认情况下,您将获得基于确认的访问决策管理器,该管理器允许在只有一个投票人投票授予访问权限时调用方法,而不管是否有投票拒绝访问。
我们的四个目的是,我们需要一个自定义投票者,根据存储的访问记录验证用户对电子表格的访问。我们通过扩展AbstractAclVoter来实现这一点,对于已配置的已处理域对象类和方法调用,AbstractAclVoter可以查找参数域对象实例。我们将实现投票方法,该方法由经过身份验证的用户、安全方法调用和一组ConfigAttributes传递。
@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
for (ConfigAttribute configAttribute : attributes) {
if (supports(configAttribute)) {
User principal = (User) authentication.getPrincipal();
Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
}
}
return ACCESS_ABSTAIN;
}我们的投票者被传递一个或多个ConfigAttributes,就像传递给@Secured注释本身一样,我们通过调用布尔支持(ConfigAttribute)来验证它:
@Override
public boolean supports(ConfigAttribute attribute) {
return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}考虑到这些实现,只有当ConfigAttribute与配置的ProcessDomainObjectClass不匹配时,投票者才会弃权。根据存储的访问记录,在所有其他情况下,投票人将投票批准或拒绝访问。
3.配置
我们需要配置应用程序的两个部分,以便触发自定义访问决策投票者逻辑。
首先,我们需要通过@EnableGlobalMethodSecurity(securedEnabled=true)激活@Secured注释,这是在AccessDecisionConfiguration中完成的。
其次,我们需要将电子表格AccessDecisionVoter添加到AccessDecisionManager考虑的决策投票者列表中。为此,我们扩展了GlobalMethodSecurity配置以覆盖AccessDecisionManager AccessDecisionManager()。我们称之为super.accessDecisionManager()获取默认的基于确认的访问决策管理器,只需在末尾添加我们自己的投票人。
如果您需要保护多个域对象类型,可以很容易地向列表中添加更多投票者。
4.测验
我们的电子表格AccessDecisionVoterit测试使用模拟用户Alice和Bob,以及恶意的第三用户Eve,他们都试图访问单个电子表格。
我们可以看到,对电子表格的访问遵守每个测试开始时存储的规则:
- Alice可以访问电子表格。
- Bob还可以访问电子表格。
- Eve无法访问电子表格,因为她收到了AccessDeniedException。
到此这篇关于Spring Security实现自定义访问策略的文章就介绍到这了,更多相关Spring Security自定义访问策略内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
这篇文章主要给大家介绍了关于Java中自动装箱、拆箱引起的耗时的相关资料,文中通过示例代码介绍的非常详细,对大家学习或者使用Java具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧2019-04-04
这篇文章主要介绍了java kafka如何动态设置用户读写权限问题,具有很好的参考家价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-08-08
这篇文章主要为大家详细介绍了Java HttpURLConnection使用方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下2017-11-11
组合模式,又叫部分整体模式,它创建了对象组的数据结构组合模式使得用户对单个对象和组合对象的访问具有一致性。本文将通过示例为大家详细介绍一下组合模式,需要的可以参考一下2022-09-09
SpringBoot中@Scheduled()注解以及cron表达式详解
这篇文章主要介绍了SpringBoot中@Scheduled()注解以及cron表达式详解,@Scheduled注解是Spring Boot提供的用于定时任务控制的注解,主要用于控制任务在某个指定时间执行,或者每隔一段时间执行,需要的朋友可以参考下2023-08-08
Spring Security在标准登录表单中添加一个额外的字段
这篇文章主要介绍了Spring Security在标准登录表单中添加一个额外的字段,我们将重点关注两种不同的方法,以展示框架的多功能性以及我们可以使用它的灵活方式。 需要的朋友可以参考下2019-05-05
这篇文章主要介绍了JavaWeb项目音频资源播放实现方法详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下2019-10-10
这篇文章主要介绍了Springboot如何使用YML文件配置多环境问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2024-01-01
这篇文章主要介绍了java并发中的Synchronized关键词,本文通过思路代码给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下2020-02-02
这篇文章主要介绍了java为什么不允许类多重继承却允许接口多重继承,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧2019-05-05
最新评论