2. 程式人生 > 程式設計 >Spring Security原理介紹、原始碼解析——授權過程

Spring Security原理介紹、原始碼解析——授權過程

阿新 發佈:2019-12-31

流程簡述

當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilteraccess_token轉化為系統可識別的Authentication放入安全上下文, 則來到最後一個過濾器FilterSecurityInterceptor,該過濾則是判斷請求是否擁有許可權。

public class FilterSecurityInterceptor extends AbstractSecurityInterceptor implements Filter {
  
  public void doFilter(ServletRequest request,ServletResponse response,FilterChain chain)
 
 throws IOException,ServletException {
	  FilterInvocation fi = new FilterInvocation(request,response,chain);
	  invoke(fi);
	}
	
  public void invoke(FilterInvocation fi) throws IOException,ServletException {
    if ((fi.getRequest() != null)
	  && (fi.getRequest().getAttribute(FILTER_APPLIED) != null
 
)
	  && observeOncePerRequest) {
	    // filter already applied to this request and user wants us to observe
		// once-per-request handling,so don't re-do security checking
	  fi.getChain().doFilter(fi.getRequest(),fi.getResponse());
	} else {
	  // first time this request being called,so perform security checking
 

	  if (fi.getRequest() != null && observeOncePerRequest) {
	      fi.getRequest().setAttribute(FILTER_APPLIED,Boolean.TRUE);
	  }
	  // 請求之前的工作,也就是真正的許可權認證的過程
	  InterceptorStatusToken token = super.beforeInvocation(fi);
	  try {
	    // 請求真正的controller
	    fi.getChain().doFilter(fi.getRequest(),fi.getResponse());
	  }
	  finally {
	    super.finallyInvocation(token);
	  }
	  // 請求後的工作
	  super.afterInvocation(token,null);
	}
  }
}
複製程式碼

FilterSecurityInterceptor的主體方法依舊在doFilter中,而其中主要的方法為invoke(),大約分為三個步驟:

  1. beforeInvocation(fi); 驗證Context中的Authentication和目標url所需許可權是否匹配,匹配則通過,不通過則丟擲異常。
  2. fi.getChain().doFilter(fi.getRequest(),fi.getResponse()); 在此可以看做是,真正去訪問目標Controller。
  3. afterInvocation(token,null); 獲取請求後的操作。

首先來看看beforeInvocation()

beforeInvocation

abstract class AbstractSecurityInterceptor {
  protected InterceptorStatusToken beforeInvocation(Object object) {
     // 獲取目標url的許可權內容,這些內容可以從configuration中獲取也可以用MetadataSource中獲取
     Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);
     // ……省略
    
  	 Authentication authenticated = authenticateIfRequired();
  
  	 // Attempt authorization
  	 try {
  	    // AccessDecisionManager用於驗證Authentication中的許可權和目標url所需許可權是否匹配,如果不匹配則丟擲AccessDeniedException異常
  	    this.accessDecisionManager.decide(authenticated,object,attributes);
  	 }
  	 catch (AccessDeniedException accessDeniedException) {
  		publishEvent(new AuthorizationFailureEvent(object,attributes,authenticated,accessDeniedException));
    			throw accessDeniedException;
  	 }
  
  	 // Attempt to run as a different user
  	 Authentication runAs = this.runAsManager.buildRunAs(authenticated,attributes);
  	 
  	 // 下一步則是生成InterceptorStatusToken,用於AfterInvocation步驟。有興趣可以自己看
  	 if (runAs == null) {
  	   // no further work post-invocation
  		return new InterceptorStatusToken(SecurityContextHolder.getContext(),false,object);
  	 }
  	 else {
  		SecurityContext origCtx = SecurityContextHolder.getContext();
  		SecurityContextHolder.setContext(SecurityContextHolder.createEmptyContext());
  		SecurityContextHolder.getContext().setAuthentication(runAs);
  		// need to revert to token.Authenticated post-invocation
  		return new InterceptorStatusToken(origCtx,true,object);
  	 }
  }
}
複製程式碼
  1. Collection<ConfigAttribute> attributes = this.obtainSecurityMetadataSource().getAttributes(object);獲取目標url所需要的許可權, 該類實現FilterInvocationSecurityMetadataSource介面的方法。而配置url許可權也可以從WebSecurityConfig中的configuration方法配置。
  2. this.accessDecisionManager.decide(authenticated,attributes); 判斷Authentication中的許可權目標url所需許可權是否匹配,匹配則通過;不匹配則丟擲AccessDeniedException異常。 該方法來自AbstractAccessDecisionManager的實現類,系統預設實現為AffirmativeBased
  3. new InterceptorStatusToken(SecurityContextHolder.getContext(),false,object); 實現InterceptorStatusToken並返回,包括引數中的資訊,如安全上下文、目標url所需許可權、原始的訪問請求。

之後則訪問目標Controller,獲取真正的請求內容。

afterInvocation

當我們啟用了@PreAuthorize()@PostAuthorize()註解的時候則會AfterInvocationManger,進而有以下驗證邏輯。

abstract class AbstractSecurityInterceptor {
  protected Object afterInvocation(InterceptorStatusToken token,Object returnedObject) {
    if (token == null) {
  	  // public object
  	  return returnedObject;
  	}
  
  	finallyInvocation(token); // continue to clean in this method for passivity
  
  	if (afterInvocationManager != null) {
  	// Attempt after invocation handling
  	  try {
  		returnedObject = afterInvocationManager.decide(token.getSecurityContext()
  		  .getAuthentication(),token.getSecureObject(),token
  		  .getAttributes(),returnedObject);
  	  }
  	  catch (AccessDeniedException accessDeniedException) {
  		AuthorizationFailureEvent event = new AuthorizationFailureEvent(
  		  token.getSecureObject(),token.getAttributes(),token
  			.getSecurityContext().getAuthentication(),accessDeniedException);
  		publishEvent(event);
  		throw accessDeniedException;
  	  }
  	}
  	return returnedObject;
  }
}
複製程式碼

以下程式碼則是包含AfterInvocationManager具體的實現。

public class GlobalMethodSecurityConfiguration {
  protected AfterInvocationManager afterInvocationManager() {
    if (prePostEnabled()) {
  	  AfterInvocationProviderManager invocationProviderManager = new AfterInvocationProviderManager();
  		ExpressionBasedPostInvocationAdvice postAdvice = new ExpressionBasedPostInvocationAdvice(
  	    	getExpressionHandler());
  		PostInvocationAdviceProvider postInvocationAdviceProvider = new PostInvocationAdviceProvider(
  			postAdvice);
  		List<AfterInvocationProvider> afterInvocationProviders = new ArrayList<>();
  		afterInvocationProviders.add(postInvocationAdviceProvider);
  		invocationProviderManager.setProviders(afterInvocationProviders);
  		return invocationProviderManager;
  	  }
  	return null;
  }
}
複製程式碼

我們可以做些什麼?

  1. 實現FilterInvocationSecurityMetadataSource,用於啟動時載入url所需的許可權,這樣就不用在configuration或者註解中將目標url許可權‘寫死’。 可以參照本例所寫的實現MyFilterInvocationSecurityMetadataSource

  2. 過載AbstractAccessDecisionManager,根據業務需要重寫,請求目標許可權和Authentication中許可權的驗證過程. 舉個例子,Spring Security中預設的RBAC,即,許可權認證都是根據角色判斷,固定角色只能訪問固定介面。 現在我們需要ACL許可權模型,使用者A許可權為1,使用者B許可權為5,使用者C許可權為9,介面a需要許可權6,則使用者C可以訪問, 而使用者A、B不能訪問,就是說許可權大的可以訪問許可權小的介面,如果需要改變許可權模型則過載該類即可。

總結

授權過程主要有哪些?

  1. 獲取請求目標所需許可權,從FilterInvocationSecurityMetadataSource介面的實現類獲取。
  2. 對比安全上下文中Authentication中的許可權是否匹配,在AbstractAccessDecisionManager的實現類中比較。

連結

文章涉及到程式碼已傳到gitee上,供大家參考: gitee.com/yangzijing/…

Spring Security原始碼龐大且複雜,本人水平有限,文章難免有錯漏、表述不清之處,請大家支出。歡迎交流,希望和大家共同進步。

相關推薦

Spring Security原理介紹原始碼解析——授權過程

流程簡述 當我們成功登入,獲取access_token,即可使用該token來訪問有許可權的介面。如上文所講,JwtAuthenticationFilter將access_token轉化為系統可識別的Authentication放入安全上下文,

Spring Security原理介紹原始碼解析——認證過程

核心原理 在前後端分離的架構中,許可權認證主要包含兩個主要的過程: 通過使用者名稱密碼換取一個令牌(Token),令牌具有不可修改性,以保證許可權的安全。

Spring Security 技術棧開發企業級認證授權(3)

歡迎關注個人部落格,此文為《Spring Security 技術棧開發企業級認證授權(2)》的後續

Spring Security 技術棧開發企業級認證授權

個人部落格:www.zhenganwen.top,文末有驚喜! 環境準備 本文中所有例項程式碼已託管碼雲:gitee.com/zhenganwen/…

淺析Spring Security登入驗證流程原始碼

登入認證基於過濾器鏈 Spring Security的登入驗證流程核心就是過濾器鏈。當一個請求到達時按照過濾器鏈的順序依次進行處理,通過所有過濾器鏈的驗證,就可以訪問API介面了。

Spring 與 MyBatis 事務管理原始碼解析

用到mybatis便由spring和myabtis整合,SqlSessionFactoryBean(直接負責對mybatis所需環境的建立) ,配置相應的datasource到springConfig檔案中,並將datasource注入到SqlSessionFactoryBean的例項化到容器中,依據他

spring boot:spring security實現oauth2+jwt管理認證授權及oauth2返回結果格式化(spring boot 2.3.3)

一,為什麼oauth2要整合jwt? 1,OAuth2的token技術有一個最大的問題是不攜帶使用者資訊,所以資源伺服器不能進行本地驗證,

Spring Ioc 容器啟動流程原始碼解析

做java開發四年了,很多時候都在想spring究竟是怎麼玩轉的,當對java有一定深入的理解,我們就需要對spring原始碼進行解讀,原始碼的解讀過程個人覺得至少要看5遍以上才會不暈車,品讀其中的奧妙。

Spring 事件監聽器示例及原始碼解析

Spring 事件監聽器示例及原始碼解析 原始碼解析 ApplicationEvent public abstract class ApplicationEvent extends EventObject {

Spring Security OAuth2.0分散式認證和授權方案

1 OAuth 2.0 1.1 OAuth2.0介紹 OAuth (開放授權)是一個開放標準,允許使用者授權第三方應用以便訪問他們儲存在其他服務提供者上的資訊,而不需要使用者將使用者名稱和密碼提供給第三方應用或分享使用者資料的所有

Spring Boot 自動配置註解原始碼解析

前言 為什麼Spring Boot這麼火?因為便捷,開箱即用,但是你思考過為什麼會這麼便捷嗎?傳統的SSM架構配置檔案至少要寫半天,而使用Spring Boot之後只需要引入一個starter之後就能直接使用,why???

Spring Security內建 Filter 全解析

Spring Security 初始化核心過濾器時 HttpSecurity 會通過將 Spring Security 內建的一些過濾器以 FilterComparator 提供的規則進行比較按照比較結果進行排序註冊。

Hamming(漢明)窗的原理介紹及例項解析

概念   在數字訊號處理過程中,每次FFT變換隻能對有限長度的時域資料進行變換,因此,需要對時域訊號進行訊號截斷。即使是週期訊號,如果截斷的時間長度不是週期的整數倍(週期截斷),那麼,擷取後的訊號將會存在洩

Spring Security登入新增驗證碼的實現過程

登入新增驗證碼是一個非常常見的需求,網上也有非常成熟的解決方案,其實,要是自己自定義登入實現這個並不難,但是如果需要在 Spring Security 框架中實現這個功能,還得稍費一點功夫,本文就和小夥伴來分享下在 Sp

shiro原始碼分析-授權過程

二。shiro的授權過程原始碼分析 1.shiro不管是基於url的粗粒度許可權控制,還是基於方法的細粒度許可權控制。每個請求,都會經過PathMatchingFilter類的preHandle方法來校驗url。關於shiro的filter再將。

Spring-boot整合pgmongo多資料來源過程詳解

這篇文章主要介紹Spring-boot整合pgmongo多資料來源過程詳解,文中通過示例程式碼介紹的非常詳細,對大家的學習或者工作具有一定的參考學習價值,需要的朋友可以參考下

Spring Security】2. EableWebSecurityWebSecurityConfiguration和過濾器鏈原始碼解析

1 @EnableWebSecurity原始碼解析 @Retention(RetentionPolicy.RUNTIME) @Target({ElementType.TYPE}) @Documented

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析

Spring Security 解析(六) —— 基於JWT的單點登陸(SSO)開發及原理解析   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring Security 、Spring Security Oauth2 等許可

Spring Boot中@ConfigurationProperties註解實現原理原始碼解析

0. 開源專案推薦 Pepper Metrics是我與同事開發的一個開源工具(github.com/zrbcool/pep…),其通過收集jedis/mybatis/httpservlet/dubbo/motan的執行效能統計,並暴露成prometheus等主流時序資料庫相容資料,通過gra

Spring Security 解析(一) —— 授權過程

Spring Security 解析(一) —— 授權過程   在學習Spring Cloud 時,遇到了授權服務oauth 相關內容時,總是一知半解,因此決定先把Spring Security 、Spring Security Oauth2 等許可權認證相關的內容、原理