原创/朱季谦

在Spring Security权限框架里,若要对后端http接口实现权限授权控制,有两种实现方式。

一、一种是基于注解方法级的鉴权,其中,注解方式又有@Secured和@PreAuthorize两种。

@Secured如:

  1 @PostMapping("/test")

  2  @Secured({WebResRole.ROLE_PEOPLE_W})

  3  public void test(){

  4  ......

  5  return null;

  6  }

@PreAuthorize如:

  1 @PostMapping("save")

  2 @PreAuthorize("hasAuthority('sys:user:add') AND hasAuthority('sys:user:edit')")

  3 public RestResponse save(@RequestBody @Validated SysUser sysUser, BindingResult result) {

  4     ValiParamUtils.ValiParamReq(result);

  5     return sysUserService.save(sysUser);

  6 }

二、一种基于config配置类,需在对应config类配置@EnableGlobalMethodSecurity(prePostEnabled = true)注解才能生效,其权限控制方式如下:

  1 @Override

  2 protected void configure(HttpSecurity httpSecurity) throws Exception {

  3     //使用的是JWT,禁用csrf

  4     httpSecurity.cors().and().csrf().disable()

  5             //设置请求必须进行权限认证

  6             .authorizeRequests()

  7             //首页和登录页面

  8             .antMatchers("/").permitAll()

  9             .antMatchers("/login").permitAll()

 10             // 其他所有请求需要身份认证

 11             .anyRequest().authenticated();

 12     //退出登录处理

 13     httpSecurity.logout().logoutSuccessHandler(...);

 14     //token验证过滤器

 15     httpSecurity.addFilterBefore(...);

 16 }

这两种方式各有各的特点,在日常开发当中,普通程序员接触比较多的,则是注解方式的接口权限控制。

那么问题来了,我们配置这些注解或者类,其security框是如何帮做到能针对具体的后端API接口做权限控制的呢?

单从一行@PreAuthorize("hasAuthority('sys:user:add') AND hasAuthority('sys:user:edit')")注解上看,是看不出任何头绪来的,若要回答这个问题,还需深入到源码层面,方能对security授权机制有更好理解。

若要对这个过程做一个总的概述,笔者整体以自己的思考稍作了总结,可以简单几句话说明其整体实现,以该接口为例:

  1 @PostMapping("save")

  2 @PreAuthorize("hasAuthority('sys:user:add')")

  3 public RestResponse save(@RequestBody @Validated SysUser sysUser, BindingResult result) {

  4     ValiParamUtils.ValiParamReq(result);

  5     return sysUserService.save(sysUser);

  6 }

即,认证通过的用户,发起请求要访问“/save”接口,若该url请求在配置类里设置为必须进行权限认证的,就会被security框架使用filter拦截器对该请求进行拦截认证。拦截过程主要一个动作,是把该请求所拥有的权限集与@PreAuthorize设置的权限字符“sys:user:add”进行匹配,若能匹配上,说明该请求是拥有调用“/save”接口的权限,那么,就可以被允许执行该接口资源。

在springboot+security+jwt框架中,通过一系列内置或者自行定义的过滤器Filter来达到权限控制,如何设置自定义的过滤器Filter呢?例如,可以通过设置httpSecurity.addFilterBefore(new JwtFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class)来自定义一个基于JWT拦截的过滤器JwtFilter,这里的addFilterBefore方法将在下一篇文详细分析,这里暂不展开,该方法大概意思就是,将自定义过滤器JwtFilter加入到Security框架里,成为其中的一个优先安全Filter,代码层面就是将自定义过滤器添加到List<Filter> filters。

设置增加自行定义的过滤器Filter伪代码如下:

  1 @Configuration

  2 @EnableWebSecurity

  3 @EnableGlobalMethodSecurity(prePostEnabled = true)

  4 public class SecurityConfig extends WebSecurityConfigurerAdapter {

  5     ......

  6     @Override

  7     protected void configure(HttpSecurity httpSecurity) throws Exception {

  8         //使用的是JWT,禁用csrf

  9         httpSecurity.cors().and().csrf().disable()

 10                 //设置请求必须进行权限认证

 11                 .authorizeRequests()

 12                 ......

 13                 //首页和登录页面

 14                 .antMatchers("/").permitAll()

 15                 .antMatchers("/login").permitAll()

 16                 // 其他所有请求需要身份认证

 17                 .anyRequest().authenticated();

 18         ......

 19         //token验证过滤器

 20         httpSecurity.addFilterBefore(new JwtFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);

 21     }

 22 }

该过滤器类extrends继承BasicAuthenticationFilter,而BasicAuthenticationFilter是继承OncePerRequestFilter,该过滤器确保在一次请求只通过一次filter,而不需要重复执行。这样配置后,当请求过来时,会自动被JwtFilter类拦截,这时,将执行重写的doFilterInternal方法,在SecurityContextHolder.getContext().setAuthentication(authentication)认证通过后,会执行过滤器链FilterChain的方法chain.doFilter(request, response);

  1 public class JwtFilter  extends BasicAuthenticationFilter {

  2

  3     @Autowired

  4     public JwtFilter(AuthenticationManager authenticationManager) {

  5         super(authenticationManager);

  6     }

  7

  8    @Override

  9    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException {

 10        // 获取token, 并检查登录状态

 11        // 获取令牌并根据令牌获取登录认证信息

 12        Authentication authentication = JwtTokenUtils.getAuthenticationeFromToken(request);

 13        // 设置登录认证信息到上下文

 14        SecurityContextHolder.getContext().setAuthentication(authentication);

 15

 16        chain.doFilter(request, response);

 17    }

 18

 19 }

那么,问题来了,过滤器链FilterChain究竟是什么?

这里,先点进去看下其类源码:

  1 package javax.servlet;

  2

  3 import java.io.IOException;

  4

  5 public interface FilterChain {

  6     void doFilter(ServletRequest var1, ServletResponse var2) throws IOException, ServletException;

  7 }

FilterChain只有一个 doFilter方法,这个方法的作用就是将请求request转发到下一个过滤器filter进行过滤处理操作,执行过程如下:

过滤器链像一条铁链,把相关的过滤器链接起来,请求线程如蚂蚁一样,会沿着这条链一直爬过去-----即,通过chain.doFilter(request, response)方法,一层嵌套一层地传递下去,当传递到该请求对应的最后一个过滤器,就会将处理完成的请求转发返回。因此,通过过滤器链,可实现在不同的过滤器当中对请求request做处理,且过滤器之间彼此互不干扰。

这其实是一种责任链的设计模式。在这种模式当中,通常每个接受者都包含对另一个接收者的引用。如果一个对象不能处理该请求,那么,它就会把相同的请求传给下一个接收者,以此类推。

Spring Security框架上过滤器链上都有哪些过滤器呢?

可以在DefaultSecurityFilterChain类根据输出相关log或者debug来查看Security都有哪些过滤器,如在DefaultSecurityFilterChain类中的构造器中打断点,如图所示,可以看到,自定义的JwtFilter过滤器也包含其中:

这些过滤器都在同一条过滤器链上,即通过chain.doFilter(request, response)可将请求一层接一层转发,处理请求接口是否授权的主要过滤器是FilterSecurityInterceptor,其主要作用如下:

1. 获取到需访问接口的权限信息,即@Secured({WebResRole.ROLE_PEOPLE_W}) 或@PreAuthorize定义的权限信息;

2. 根据SecurityContextHolder中存储的authentication用户信息,来判断是否包含与需访问接口的权限信息,若包含,则说明拥有该接口权限;

3. 主要授权功能在父类AbstractSecurityInterceptor中实现;

我们将从FilterSecurityInterceptor这里开始重点分析Security授权机制原理的实现。

过滤器链将请求传递转发FilterSecurityInterceptor时,会执行FilterSecurityInterceptor的doFilter方法:

  1 public void doFilter(ServletRequest request, ServletResponse response,

  2       FilterChain chain) throws IOException, ServletException {

  3    FilterInvocation fi = new FilterInvocation(request, response, chain);

  4    invoke(fi);

  5 }

在这段代码当中,FilterInvocation类是一个有意思的存在,其实它的功能很简单,就是将上一个过滤器传递过滤的request,response,chain复制保存到FilterInvocation里,专门供FilterSecurityInterceptor过滤器使用。它的有意思之处在于,是将多个参数统一归纳到一个类当中,其到统一管理作用,你想,若是N多个参数,传进来都分散到类的各个地方,参数多了,代码多了,方法过于分散时,可能就很容易造成阅读过程中,弄糊涂这些个参数都是哪里来了。但若统一归纳到一个类里,就能很快定位其来源,方便代码阅读。网上有人提到该FilterInvocation类还起到解耦作用,即避免与其他过滤器使用同样的引用变量。

总而言之,这个地方的设定虽简单,但很值得我们学习一番,将其思想运用到实际开发当中,不外乎也是一种能简化代码的方法。

FilterInvocation主要源码如下:

  1 public class FilterInvocation {

  2

  3    private FilterChain chain;

  4    private HttpServletRequest request;

  5    private HttpServletResponse response;

  6

  7

  8    public FilterInvocation(ServletRequest request, ServletResponse response,

  9          FilterChain chain) {

 10       if ((request == null) || (response == null) || (chain == null)) {

 11          throw new IllegalArgumentException("Cannot pass null values to constructor");

 12       }

 13

 14       this.request = (HttpServletRequest) request;

 15       this.response = (HttpServletResponse) response;

 16       this.chain = chain;

 17    }

 18    ......

 19 }

FilterSecurityInterceptor的doFilter方法里调用invoke(fi)方法:

  1 public void invoke(FilterInvocation fi) throws IOException, ServletException {

  2    if ((fi.getRequest() != null)

  3          && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)

  4          && observeOncePerRequest) {

  5      //筛选器已应用于此请求,每个请求处理一次,所以不需重新进行安全检查

  6       fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

  7    }

  8    else {

  9       // 第一次调用此请求时,需执行安全检查

 10       if (fi.getRequest() != null && observeOncePerRequest) {

 11          fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);

 12       }

 13        //1.授权具体实现入口

 14       InterceptorStatusToken token = super.beforeInvocation(fi);

 15       try {

 16        //2.授权通过后执行的业务

 17          fi.getChain().doFilter(fi.getRequest(), fi.getResponse());

 18       }

 19       finally {

 20          super.finallyInvocation(token);

 21       }

 22        //3.后续处理

 23       super.afterInvocation(token, null);

 24    }

 25 }

授权机制实现的入口是super.beforeInvocation(fi),其具体实现在父类AbstractSecurityInterceptor中实现,beforeInvocation(Object object)的实现主要包括以下步骤:

一、获取需访问的接口权限,这里debug的例子是调用了前文提到的“/save”接口,其权限设置是@PreAuthorize("hasAuthority('sys:user:add') AND hasAuthority('sys:user:edit')"),根据下面截图,可知变量attributes获取了到该请求接口的权限:

二、获取认证通过之后保存在 SecurityContextHolder的用户信息,其中,authorities是一个保存用户所拥有全部权限的集合;

这里authenticateIfRequired()方法核心实现:

  1 private Authentication authenticateIfRequired() {

  2    Authentication authentication = SecurityContextHolder.getContext()

  3          .getAuthentication();

  4    if (authentication.isAuthenticated() && !alwaysReauthenticate) {

  5      ......

  6       return authentication;

  7    }

  8    authentication = authenticationManager.authenticate(authentication);

  9    SecurityContextHolder.getContext().setAuthentication(authentication);

 10    return authentication;

 11 }

在认证过程通过后,执行SecurityContextHolder.getContext().setAuthentication(authentication)将用户信息保存在Security框架当中,之后可通过SecurityContextHolder.getContext().getAuthentication()获取到保存的用户信息;

三、尝试授权,用户信息authenticated、请求携带对象信息object、所访问接口的权限信息attributes,传入到decide方法;

decide()是决策管理器AccessDecisionManager定义的一个方法。

  1 public interface AccessDecisionManager {

  2    void decide(Authentication authentication, Object object,

  3          Collection<ConfigAttribute> configAttributes) throws AccessDeniedException,

  4          InsufficientAuthenticationException;

  5    boolean supports(ConfigAttribute attribute);

  6    boolean supports(Class<?> clazz);

  7 }

AccessDecisionManager是一个interface接口,这是授权体系的核心。FilterSecurityInterceptor 在鉴权时,就是通过调用AccessDecisionManager的decide()方法来进行授权决策,若能通过,则可访问对应的接口。

AccessDecisionManager类的方法具体实现都在子类当中,包含AffirmativeBased、ConsensusBased、UnanimousBased三个子类;

AffirmativeBased表示一票通过,这是AccessDecisionManager默认类;

ConsensusBased表示少数服从多数;

UnanimousBased表示一票反对;

如何理解这个投票机制呢?

点进去AffirmativeBased类里,可以看到里面有一行代码int result = voter.vote(authentication, object, configAttributes):

这里的AccessDecisionVoter是一个投票器,用到委托设计模式,即AffirmativeBased类会委托投票器进行选举,然后将选举结果返回赋值给result,然后判断result结果值,若为1,等于ACCESS_GRANTED值时,则表示可一票通过,也就是,允许访问该接口的权限。

这里,ACCESS_GRANTED表示同意、ACCESS_DENIED表示拒绝、ACCESS_ABSTAIN表示弃权:

  1 public interface AccessDecisionVoter<S> {

  2    int ACCESS_GRANTED = 1;//表示同意

  3    int ACCESS_ABSTAIN = 0;//表示弃权

  4    int ACCESS_DENIED = -1;//表示拒绝

  5    ......

  6    }

那么,什么情况下,投票结果result为1呢?

这里需要研究一下投票器接口AccessDecisionVoter,该接口的实现如下图所示:

这里简单介绍两个常用的:

1. RoleVoter:这是用来判断url请求是否具备接口需要的角色,这种主要用于使用注解@Secured处理的权限;

2. PreInvocationAuthorizationAdviceVoter:针对类似注解@PreAuthorize("hasAuthority('sys:user:add') AND hasAuthority('sys:user:edit')")处理的权限;

到这一步,代码就开始难懂了,这部分封装地过于复杂,总体的逻辑,是将用户信息所具有的权限与该接口的权限表达式做匹配,若能匹配成功,返回true,在三目运算符中,

allowed ? ACCESS_GRANTED : ACCESS_DENIED,就会返回ACCESS_GRANTED ,即表示通过,这样,返回给result的值就为1了。

到此为止,本文就结束了,笔者仍存在不足之处,欢迎各位读者能够给予珍贵的反馈,也算是对笔者写作的一种鼓励。

深入理解Spring Security授权机制原理的更多相关文章

  1. spring security 授权方式(自定义)及源码跟踪

    spring security 授权方式(自定义)及源码跟踪 ​ 这节我们来看看spring security的几种授权方式,及简要的源码跟踪.在初步接触spring security时,为了实现它的 ...

  2. Spring Security授权 AccessDecisionManager

    Spring Security授权 AccessDecisionManager 博客分类: Security Spring   在前面那篇博客有一段配置: <http auto-config=& ...

  3. 浅谈spring security 403机制

    403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一.无权限访问 <security:http security="none" pattern ...

  4. 通俗的讲法理解spring的事务实现原理

    拿房屋买卖举例,流程:销售房屋 -- 接待员 -- 销售员 -- 财务 售楼处 存放着所有待售和已售的房屋数据(数据源 datasource) 总经理 带领一套自己的班底,下属员工都听自己的,服务于售 ...

  5. 正确理解cookie和session机制原理

    php中cookie和session是我们常用的两个变量了,一个是用户客户端的,一个用在服务器的但他们的区别与工作原理怎么样,下面我们一起来看看cookie和session机制原理吧. cookie和 ...

  6. 深入理解React:事件机制原理

    目录 序言 DOM事件流 事件捕获阶段.处于目标阶段.事件冒泡阶段 addEventListener 方法 React 事件概述 事件注册 document 上注册 回调函数存储 事件分发 小结 参考 ...

  7. 【微服务】 数据库案例理解Spring Security OAuth

    突然被问,你是做技术的怎么不走技术路线呢?是啊~仔细想想至今做了这么多年的技术,研发过的系统&产品五花八门,涉及到的领域各行各业:政府.军队.公安.国安.石油&石化.金融.教育.华为等 ...

  8. Spring Security入门(2-3)Spring Security 的运行原理 4 - 自定义登录方法和页面

    参考链接,多谢作者: http://blog.csdn.net/lee353086/article/details/52586916 http元素下的form-login元素是用来定义表单登录信息的. ...

  9. 从源码中理解Spring Boot自动装配原理

    个人博客:槿苏的知识铺 一.什么是自动装配 SpringBoot 定义了一套接口规范,这套规范规定:SpringBoot在启动时会扫描外部引用jar包中的META-INF/spring.factori ...

随机推荐

  1. 经历与感想丨第15届CSUST-ACM程序大赛

    这算是我的第一次较正式的\(ACM\)团队比赛吧,真的感谢@dj.@qc两位大佬. 开局就选了最后一题(因为哈希是他们集训队的猫),但三人无啥思路,于是溜回A题(发现有不少人已经过了).dj很快进入状 ...

  2. 「有数可据」选择IT行业的1000个理由!

    这你要我编 我也编不出一千个呀 现如今转行IT 还需要1000个理由吗? 不 不需要的 一个就好   10月初 CSDN博主「有数可据」 发布了 2020年10月国内程序员薪资情况 他本人是这样说的☟ ...

  3. HTML 和CSS

    1 HTML 介绍1.1 web 服务本质import socket sk = socket.socket() sk.bind(("127.0.0.1", 8080))sk.lis ...

  4. Unity使用transform.Translate()移动子物体时遇到的小问题

    Unity使用transform.Translate()移动子物体时遇到的小问题 情况大概是这样:父物体A下有子物体B,希望使B在本地坐标系下移动1单位. B物体挂脚本代码如下: transform. ...

  5. 使用PyQt(Python+Qt)+动态编译36行代码实现的计算器

    PyQt是基于跨平台的图形界面C++开发工具Qt加Python包装的一个GPL软件(GPL是GNU General Public License的缩写,是GNU通用公共授权非正式的中文翻译),Qt基于 ...

  6. CobaltStrike 生成office宏病毒进行钓鱼攻击

    关于WORD宏: 在百度百科上有: 宏是一个批量处理程序命令,正确地运用它可以提高工作效率.微软的office软件允许用户自己编写,叫VBA的脚本来增加其灵活性,进一步扩充它的能力.如完打开word文 ...

  7. 跨国合作:Serverless Components 在腾讯云的落地和实践

    导语 | Serverless Components 是 Serverless Framework 推出的最新解决⽅案,具有基础设施编排能⼒,开发者通过使⽤ Serverless Components ...

  8. 团队作业4-Day6

    团队作业4-Day6 项目git地址 1. 站立式会议 2. 项目燃尽图 3. 适当的项目截图 4. 代码/文档签入记录(部分) 5. 每人每日总结 吴梓华:今日修复了图片显示BUG,补充了排位模式出 ...

  9. mvvm和mvc区别?

    mvc和mvvm其实区别并不大.都是一种设计思想.主要就是mvc中Controller演变成mvvm中的viewModel. mvvm主要解决了mvc中大量的DOM 操作使页面渲染性能降低,加载速度变 ...

  10. 什么时候使用transition?什么时候使用animation?

    不同点: 1. 触发条件不同.transition通常和hover等事件配合使用,由事件触发.animation则和gif动态图差不多,立即播放. 2. 循环. animation可以设定循环次数. ...