快捷導(dǎo)航

Spring Security實(shí)現(xiàn)自定義訪問策略

更新時(shí)間：2022年02月23日 16:34:05 作者：老K的Java博客

本文介紹Spring Security實(shí)現(xiàn)自定義訪問策略，當(dāng)根據(jù)誰訪問哪個(gè)域?qū)ο笞龀霭踩珱Q策時(shí),您可能需要一個(gè)自定義的訪問決策投票者,幸運(yùn)的是，Spring Security有很多這樣的選項(xiàng)來實(shí)現(xiàn)訪問控制列表（ACL）約束,下面就來學(xué)習(xí)Spring Security自定義訪問策略,需要的朋友可以參考下

我們將探索一個(gè)用戶共享電子表格的系統(tǒng)，每個(gè)電子表格的訪問權(quán)限單獨(dú)存儲(chǔ)。我們已經(jīng)盡可能簡(jiǎn)單地對(duì)權(quán)限存儲(chǔ)進(jìn)行了顯式建模；想象一下，它在調(diào)用其他地方的記錄系統(tǒng)。請(qǐng)注意，在這個(gè)簡(jiǎn)化的實(shí)現(xiàn)中，訪問決定是二進(jìn)制的：要么有訪問權(quán)，要么沒有。在這個(gè)實(shí)現(xiàn)中，讀/寫訪問權(quán)沒有區(qū)別。

1.安全注釋

打開SpreadsheetService會(huì)顯示一個(gè)用@Secured注釋的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
? log.info("Reading {}", spreadsheet);
}

@Secured 注解參數(shù)是我們要限制的域?qū)ο笤L問的完全限定類名。該方法具有相同類型的參數(shù)，這是我們將保護(hù)的特定實(shí)例。

方便地，@Secured注解不需要按名稱引用參數(shù)；它可以在我們的AccessDecisionVoter中單獨(dú)按類型檢索。

2.投票機(jī)制

訪問決策由AccessDecisionManager做出，它將授權(quán)給已配置的AccessDecisionVorters列表。投票者可以根據(jù)自己的應(yīng)用程序邏輯選擇批準(zhǔn)或拒絕特定的方法調(diào)用。如果投票人不能決定某個(gè)特定的方法調(diào)用，它可以選擇棄權(quán)，將決定權(quán)留給其他投票人。默認(rèn)情況下，您將獲得基于確認(rèn)的訪問決策管理器，該管理器允許在只有一個(gè)投票人投票授予訪問權(quán)限時(shí)調(diào)用方法，而不管是否有投票拒絕訪問。

我們的四個(gè)目的是，我們需要一個(gè)自定義投票者，根據(jù)存儲(chǔ)的訪問記錄驗(yàn)證用戶對(duì)電子表格的訪問。我們通過擴(kuò)展AbstractAclVoter來實(shí)現(xiàn)這一點(diǎn)，對(duì)于已配置的已處理域?qū)ο箢惡头椒ㄕ{(diào)用，AbstractAclVoter可以查找參數(shù)域?qū)ο髮?shí)例。我們將實(shí)現(xiàn)投票方法，該方法由經(jīng)過身份驗(yàn)證的用戶、安全方法調(diào)用和一組ConfigAttributes傳遞。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
? for (ConfigAttribute configAttribute : attributes) {
? ? if (supports(configAttribute)) {
? ? ? User principal = (User) authentication.getPrincipal();
? ? ? Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
? ? ? return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
? ? }
? }
? return ACCESS_ABSTAIN;
}

我們的投票者被傳遞一個(gè)或多個(gè)ConfigAttributes，就像傳遞給@Secured注釋本身一樣，我們通過調(diào)用布爾支持（ConfigAttribute）來驗(yàn)證它：

@Override
public boolean supports(ConfigAttribute attribute) {
? return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考慮到這些實(shí)現(xiàn)，只有當(dāng)ConfigAttribute與配置的ProcessDomainObjectClass不匹配時(shí)，投票者才會(huì)棄權(quán)。根據(jù)存儲(chǔ)的訪問記錄，在所有其他情況下，投票人將投票批準(zhǔn)或拒絕訪問。

3.配置

我們需要配置應(yīng)用程序的兩個(gè)部分，以便觸發(fā)自定義訪問決策投票者邏輯。

首先,我們需要通過@EnableGlobalMethodSecurity（securedEnabled=true）激活@Secured注釋，這是在AccessDecisionConfiguration中完成的。

其次，我們需要將電子表格AccessDecisionVoter添加到AccessDecisionManager考慮的決策投票者列表中。為此，我們擴(kuò)展了GlobalMethodSecurity配置以覆蓋AccessDecisionManager AccessDecisionManager（）。我們稱之為super.accessDecisionManager（）獲取默認(rèn)的基于確認(rèn)的訪問決策管理器，只需在末尾添加我們自己的投票人。

如果您需要保護(hù)多個(gè)域?qū)ο箢愋?，可以很容易地向列表中添加更多投票者?/p>

4.測(cè)驗(yàn)

我們的電子表格AccessDecisionVoterit測(cè)試使用模擬用戶Alice和Bob，以及惡意的第三用戶Eve，他們都試圖訪問單個(gè)電子表格。

我們可以看到，對(duì)電子表格的訪問遵守每個(gè)測(cè)試開始時(shí)存儲(chǔ)的規(guī)則：

Alice可以訪問電子表格。
Bob還可以訪問電子表格。
Eve無法訪問電子表格，因?yàn)樗盏搅薃ccessDeniedException。

到此這篇關(guān)于Spring Security實(shí)現(xiàn)自定義訪問策略的文章就介紹到這了,更多相關(guān)Spring Security自定義訪問策略內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！