Spring Security实现自定义访问策略

下面是关于Spring Security实现自定义访问策略的完整攻略，主要分为以下几个步骤：

定义自定义访问策略类

首先需要定义一个实现了AccessDecisionVoter接口的自定义访问策略类。该类主要实现AccessDecisionVoter接口中的vote()方法，根据自己的逻辑决定是否允许当前用户访问对应的资源。下面是一个简单的示例代码：

public class CustomAccessDecisionVoter implements AccessDecisionVoter<Object> {
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return true;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return true;
    }

    @Override
    public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        // 用户未登录时禁止访问页面
        if (authentication == null || !authentication.isAuthenticated()) {
            return ACCESS_DENIED;
        }

        // 用户角色含有ADMIN时允许访问页面，否则禁止访问
        for (ConfigAttribute attribute : attributes) {
            if (attribute.getAttribute().equals("ROLE_ADMIN") && authentication.getAuthorities().contains(attribute)) {
                return ACCESS_GRANTED;
            }
        }

        return ACCESS_DENIED;
    }
}

在Spring Security配置中引入自定义访问策略

在Spring Security的配置中加入自定义访问策略，以实现自定义的访问控制。可以使用accessDecisionManager()方法来配置访问决策管理器，将自定义的访问策略类实例化并加入管理器，该方法需要传入一个List类型的参数，将自定义访问策略类加入该列表即可，如下：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().permitAll()
                .and()
                .formLogin()
                .and()
                .logout();
    }

    @Bean
    public AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<?>> voters = new ArrayList<>();
        voters.add(new CustomAccessDecisionVoter());
        return new AffirmativeBased(voters);
    }
}

在上面的配置中，允许/admin/路径下的页面仅能被角色为ADMIN的用户访问，自定义访问策略类决定了用户是否拥有该角色；允许/user/路径下的页面仅能被角色为USER的用户访问，这里未使用自定义访问策略类，而是使用系统默认的授权策略判断用户权限；其他路径均允许任何用户访问。

测试示例

下面是两个测试示例，分别测试自定义访问策略类的访问控制和默认授权策略的访问控制：

（1）使用自定义访问策略类

mockMvc.perform(get("/admin"))
        .andExpect(status().isOk());

上面的测试用例发送一个GET请求，访问/admin/路径下的页面，Expect结果为HTTP状态码200，表示访问成功。这是因为当前用户拥有ADMIN角色，自定义访问控制器允许其访问该页面。

（2）使用默认授权策略

mockMvc.perform(get("/user"))
        .andExpect(status().isForbidden());

上面的测试用例发送一个GET请求，访问/user/路径下的页面，Expect结果为HTTP状态码403，表示访问被禁止。这是因为当前用户没有USER角色，使用系统默认授权策略拒绝其访问该页面。

以上就是关于Spring Security实现自定义访问策略的完整攻略，希望对您有帮助。

本站文章如无特殊说明，均为本站原创，如若转载，请注明出处：Spring Security实现自定义访问策略 - Python技术站

Spring Security实现自定义访问策略

相关文章