Spring Security實現(xiàn)自定義訪問策略

更新時間：2022年02月23日 16:34:05 作者：老K的Java博客

本文介紹Spring Security實現(xiàn)自定義訪問策略，當根據(jù)誰訪問哪個域?qū)ο笞龀霭踩珱Q策時,您可能需要一個自定義的訪問決策投票者,幸運的是，Spring Security有很多這樣的選項來實現(xiàn)訪問控制列表（ACL）約束,下面就來學習Spring Security自定義訪問策略,需要的朋友可以參考下

我們將探索一個用戶共享電子表格的系統(tǒng)，每個電子表格的訪問權限單獨存儲。我們已經(jīng)盡可能簡單地對權限存儲進行了顯式建模；想象一下，它在調(diào)用其他地方的記錄系統(tǒng)。請注意，在這個簡化的實現(xiàn)中，訪問決定是二進制的：要么有訪問權，要么沒有。在這個實現(xiàn)中，讀/寫訪問權沒有區(qū)別。

1.安全注釋

打開SpreadsheetService會顯示一個用@Secured注釋的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
? log.info("Reading {}", spreadsheet);
}

@Secured 注解參數(shù)是我們要限制的域?qū)ο笤L問的完全限定類名。該方法具有相同類型的參數(shù)，這是我們將保護的特定實例。

方便地，@Secured注解不需要按名稱引用參數(shù)；它可以在我們的AccessDecisionVoter中單獨按類型檢索。

2.投票機制

訪問決策由AccessDecisionManager做出，它將授權給已配置的AccessDecisionVorters列表。投票者可以根據(jù)自己的應用程序邏輯選擇批準或拒絕特定的方法調(diào)用。如果投票人不能決定某個特定的方法調(diào)用，它可以選擇棄權，將決定權留給其他投票人。默認情況下，您將獲得基于確認的訪問決策管理器，該管理器允許在只有一個投票人投票授予訪問權限時調(diào)用方法，而不管是否有投票拒絕訪問。

我們的四個目的是，我們需要一個自定義投票者，根據(jù)存儲的訪問記錄驗證用戶對電子表格的訪問。我們通過擴展AbstractAclVoter來實現(xiàn)這一點，對于已配置的已處理域?qū)ο箢惡头椒ㄕ{(diào)用，AbstractAclVoter可以查找參數(shù)域?qū)ο髮嵗?。我們將實現(xiàn)投票方法，該方法由經(jīng)過身份驗證的用戶、安全方法調(diào)用和一組ConfigAttributes傳遞。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
? for (ConfigAttribute configAttribute : attributes) {
? ? if (supports(configAttribute)) {
? ? ? User principal = (User) authentication.getPrincipal();
? ? ? Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
? ? ? return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
? ? }
? }
? return ACCESS_ABSTAIN;
}

我們的投票者被傳遞一個或多個ConfigAttributes，就像傳遞給@Secured注釋本身一樣，我們通過調(diào)用布爾支持（ConfigAttribute）來驗證它：

@Override
public boolean supports(ConfigAttribute attribute) {
? return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考慮到這些實現(xiàn)，只有當ConfigAttribute與配置的ProcessDomainObjectClass不匹配時，投票者才會棄權。根據(jù)存儲的訪問記錄，在所有其他情況下，投票人將投票批準或拒絕訪問。

3.配置

我們需要配置應用程序的兩個部分，以便觸發(fā)自定義訪問決策投票者邏輯。

首先,我們需要通過@EnableGlobalMethodSecurity（securedEnabled=true）激活@Secured注釋，這是在AccessDecisionConfiguration中完成的。

其次，我們需要將電子表格AccessDecisionVoter添加到AccessDecisionManager考慮的決策投票者列表中。為此，我們擴展了GlobalMethodSecurity配置以覆蓋AccessDecisionManager AccessDecisionManager（）。我們稱之為super.accessDecisionManager（）獲取默認的基于確認的訪問決策管理器，只需在末尾添加我們自己的投票人。

如果您需要保護多個域?qū)ο箢愋?，可以很容易地向列表中添加更多投票者?/p>