前言：

我們將探索一個用戶共享電子表格的系統(tǒng)，每個電子表格的訪問權(quán)限單獨(dú)存儲。我們已經(jīng)盡可能簡單地對權(quán)限存儲進(jìn)行了顯式建模；想象一下，它在調(diào)用其他地方的記錄系統(tǒng)。請注意，在這個簡化的實現(xiàn)中，訪問決定是二進(jìn)制的：要么有訪問權(quán)，要么沒有。在這個實現(xiàn)中，讀/寫訪問權(quán)沒有區(qū)別。

1.安全注釋

打開SpreadsheetService會顯示一個用@Secured注釋的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
? log.info("Reading {}", spreadsheet);
}

@Secured 注解參數(shù)是我們要限制的域?qū)ο笤L問的完全限定類名。該方法具有相同類型的參數(shù)，這是我們將保護(hù)的特定實例。

方便地，@Secured注解不需要按名稱引用參數(shù)；它可以在我們的AccessDecisionVoter中單獨(dú)按類型檢索。

2.投票機(jī)制

訪問決策由AccessDecisionManager做出，它將授權(quán)給已配置的AccessDecisionVorters列表。投票者可以根據(jù)自己的應(yīng)用程序邏輯選擇批準(zhǔn)或拒絕特定的方法調(diào)用。如果投票人不能決定某個特定的方法調(diào)用，它可以選擇棄權(quán)，將決定權(quán)留給其他投票人。默認(rèn)情況下，您將獲得基于確認(rèn)的訪問決策管理器，該管理器允許在只有一個投票人投票授予訪問權(quán)限時調(diào)用方法，而不管是否有投票拒絕訪問。

我們的四個目的是，我們需要一個自定義投票者，根據(jù)存儲的訪問記錄驗證用戶對電子表格的訪問。我們通過擴(kuò)展AbstractAclVoter來實現(xiàn)這一點(diǎn)，對于已配置的已處理域?qū)ο箢惡头椒ㄕ{(diào)用，AbstractAclVoter可以查找參數(shù)域?qū)ο髮嵗?。我們將實現(xiàn)投票方法，該方法由經(jīng)過身份驗證的用戶、安全方法調(diào)用和一組ConfigAttributes傳遞。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
? for (ConfigAttribute configAttribute : attributes) {
? ? if (supports(configAttribute)) {
? ? ? User principal = (User) authentication.getPrincipal();
? ? ? Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
? ? ? return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
? ? }
? }
? return ACCESS_ABSTAIN;
}

我們的投票者被傳遞一個或多個ConfigAttributes，就像傳遞給@Secured注釋本身一樣，我們通過調(diào)用布爾支持（ConfigAttribute）來驗證它：

@Override
public boolean supports(ConfigAttribute attribute) {
? return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考慮到這些實現(xiàn)，只有當(dāng)ConfigAttribute與配置的ProcessDomainObjectClass不匹配時，投票者才會棄權(quán)。根據(jù)存儲的訪問記錄，在所有其他情況下，投票人將投票批準(zhǔn)或拒絕訪問。

3.配置

我們需要配置應(yīng)用程序的兩個部分，以便觸發(fā)自定義訪問決策投票者邏輯。

首先,我們需要通過@EnableGlobalMethodSecurity（securedEnabled=true）激活@Secured注釋，這是在AccessDecisionConfiguration中完成的。

其次，我們需要將電子表格AccessDecisionVoter添加到AccessDecisionManager考慮的決策投票者列表中。為此，我們擴(kuò)展了GlobalMethodSecurity配置以覆蓋AccessDecisionManager AccessDecisionManager（）。我們稱之為super.accessDecisionManager（）獲取默認(rèn)的基于確認(rèn)的訪問決策管理器，只需在末尾添加我們自己的投票人。

如果您需要保護(hù)多個域?qū)ο箢愋?，可以很容易地向列表中添加更多投票者?/p>

4.測驗

我們的電子表格AccessDecisionVoterit測試使用模擬用戶Alice和Bob，以及惡意的第三用戶Eve，他們都試圖訪問單個電子表格。

我們可以看到，對電子表格的訪問遵守每個測試開始時存儲的規(guī)則：

• Alice可以訪問電子表格。
• Bob還可以訪問電子表格。
• Eve無法訪問電子表格，因為她收到了AccessDeniedException。

到此這篇關(guān)于Spring Security實現(xiàn)自定義訪問策略的文章就介紹到這了,更多相關(guān)Spring Security自定義訪問策略內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評論