Spring Security 基于URL的权限判断源码解析

Spring Security 是一项广泛使用的安全框架，它提供了诸如认证、授权等功能，同时也允许开发者轻松地进行自定义权限控制。其中，基于 URL 的权限判断是 Spring Security 的重要特性之一，通过它，可以对访问特定 URL 的用户进行限制。

在本攻略中，我们将介绍 Spring Security 基于 URL 的权限判断实现的源码解析过程，并提供两个示例来帮助理解。

基于 URL 的权限判断实现

URL 授权实现原理

Spring Security 的 URL 授权实现是通过一个叫做 FilterSecurityInterceptor 的过滤器来实现的。它在请求到达后，会检查用户是否有访问该 URL 的权限。如果用户没有权限，FilterSecurityInterceptor 会抛出一个 AccessDeniedException 异常，Spring Security 会根据具体配置执行一些特定的处理。

FilterSecurityInterceptor 在执行 URL 授权时需要以下两个信息：

当前用户的权限信息
当前请求所对应的 URL 权限信息

用户的权限信息通常在登录时就被获取到，并记录在 SecurityContextHolder 中；而 URL 权限信息，则由 SecurityMetadataSource 接口提供。SecurityMetadataSource 可以生成 ConfigAttribute 对象，它包含了针对某些资源的一些元数据，包括需要的权限等信息。

当 FilterSecurityInterceptor 接收到一个请求时，会通过 SecurityMetadataSource 获取与当前请求 URL 相关的元数据信息。这些元数据包含了一个或多个 ConfigAttribute 对象，它们描述了某个 URL 需要什么样的权限才能访问。然后，FilterSecurityInterceptor 将当前用户的权限信息传递给一个 AccessDecisionManager，由它判断用户是否有权限访问当前 URL。

如果用户具备权限，AccessDecisionManager 将通过验证，让请求继续通过，否则会抛出 AccessDeniedException 异常。最后，如果有必要，Spring Security 会根据配置或者代码进行后续处理。

示例1：简单的 URL 授权

下面是一个简单的使用 Spring Security 进行 URL 授权的示例。

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated()
                .and().formLogin();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

在此示例中，我们定义了三种 URL 访问模式：

所有路径为 / 的 URL 可供所有用户访问
所有路径为 /admin/** 的 URL 只能由拥有 ROLE_ADMIN 角色的用户访问
所有其他 URL 需要进行登录认证才可访问

我们还定义了两个用户，一个是具有 USER 角色的 user，另一个是具有 ADMIN 角色的 admin。这里采用了简单的内存存储方式。用户的密码使用了 {noop} 定义，这意味着它是一个明文密码。

示例2：多角色的 URL 授权

在这个例子中，我们将说明如何通过 Spring Security 对多个角色进行授权。在此示例中，我们将创建两个角色，USER 和 MANAGER。USER 角色将被授予访问普通页面，而 MANAGER 角色将被授予访问受限资源。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/public/**").permitAll()
                .antMatchers("/users/**").hasAnyRole("USER", "MANAGER")
                .antMatchers("/manager/**").hasRole("MANAGER")
                .antMatchers("/**").authenticated()
                .and()
                .formLogin();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService);
    }
}

在此示例中，我们为每个 URL 配置了一个访问级别：

所有路径为 /public/** 的 URL 允许任何人访问
所有路径为 /users/** 的 URL 需要具有 USER 或 MANAGER 角色的用户才能访问
所有路径为 /manager/** 的 URL 只允许具有 MANAGER 角色的用户访问
所有其他 URL 都需要进行登录认证才能访问

如此，我们就可以轻松地通过 Spring Security 的基于 URL 的权限判断轻松地进行 URL 访问控制。

参考文献：

Spring Security Reference: Chapter 19. Authorization
Getting Started with Spring Security: Creating a Custom Filter with Java Configuration

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：Spring Security 基于URL的权限判断源码解析 - Python技术站

Spring Security 基于URL的权限判断源码解析

基于 URL 的权限判断实现

URL 授权实现原理

示例1：简单的 URL 授权

示例2：多角色的 URL 授权

相关文章