Spring Security
Spring Security 基础
Spring Security 简介 Spring Security 起步 Servlet 安全架构 Spring Security 安全过滤器 Spring Security 异常回收
Spring Security 认证
Spring Security 基本认证组件 Spring Security 用户名密码认证 OAuth2 集成社交网站认证 OAuth2 集成构造认证授权服务器 OAuth2 集成资源服务器 SAML2 认证集成 CAS 统一认证集成 集成JAAS认证 集成OPENID认证 实现记住我功能 实现预认证 集成X.509认证
Spring Security 鉴权
Spring Security 鉴权原理 Servlet 实现鉴权 访问控制表达式 安全对象实现 域对象安全
Spring Security 扩展
CSRF 保护 安全响应头 HTTP 协议安全 HTTP 访问限制 加密模块 单元测试
首页 > Java框架应用 > Spring Security > Servlet 实现鉴权

Spring Security 在 Servlet 请求中实现鉴权

1. 前言

Servlet 是 Java Web 应用的最常见场景,Spring Security 对 Servlet 的权限认定过程实现了规范化和流程化。

本节主要讨论在 Servlet 应用中,如何通过 Spring Security 实现鉴权。

2. Servlet 权限控制的流程

Servlet 鉴权主要围绕着 FilterSecurityInterceptor 类展开,该类作为一个安全过滤器,被放置在 FilterChainProxy 中。

图片描述

图 1. Servlet 请求鉴权流程

具体流程如下:

  1. FilterSecurityInterceptorSecurityContextHolder 中获取 Authentication 对象;
  2. FilterSecurityInterceptorHttpServletRequestHttpServletREsponseFilterChain 中创建 FilterInvocation 对象;
  3. 将创建的 FilterInvocation 对象传递给 SecurityMetadataSource 用来获取 ConfigAttribute 对象集合;
  4. 最后,将 AuthenticationFilterInvocationConfigAttribute 对象传递给 AccessDecisionManager 实例验证权限:
    • 如果验证失败,将抛出 AccessDeniedException 异常,并由 ExceptionTranslationFilter 接收并处理;
    • 如果验证通过,FilterSecurityInterceptor 将控制权交还给 FilterChain,使程序继续执行。

3. Servlet 权限控制的配置实现

默认情况下,Spring Security 的权限要求所有的请求都需要首先通过认证。相当于以下配置描述:

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize
            .anyRequest().authenticated()
        );
}

如果我们需要配置 Spring Security 对不同请求有不同的处理规则时,可通过以下方式修改配置:

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize                                  
            .mvcMatchers("/resources/**", "/signup", "/about").permitAll()         
            .mvcMatchers("/admin/**").hasRole("ADMIN")                             
            .mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")   
            .anyRequest().denyAll()                                                
        );
}

以上这段代码实现了如下功能:

  1. 指定了多种规则,每种规则按照其配置的顺序决定优先级;
  2. 匹配了多个 URL 规则,对于 /resources/signup/about 允许任何用户访问;
  3. 任何以 /admin/ 开头的地址都要求用户具有管理员权限 ROLE_ADMIN,其中 ROLE_ 前缀是 Spring Security 默认添加的,用户无需做特殊处理;
  4. 任何以 /db/ 为开头的地址需要同时拥有 ROLE_ADMINROLE_DBA 角色;
  5. 没有被上述 URL 地址匹配的地址都将被禁止访问,加上这一条非常有助于提升系统的安全性。

4. 小结

本节讨论了如何用 Spring Security 规范化 Servlet 鉴权过程:

  • Spring Security 对 Servlet 请求的权限控制,主要依赖于 FilterSecurityInterceptor 实现;
  • Spring Security 默认对每一个 Servlet 请求都要求用户已通过认证;
  • Spring Security 支持对 Servlet 的不同 URL 规则配置不同的权限规则。

下节我们讨论如何通过「访问控制表达式」实现多样化的鉴权规则。

本文来自互联网用户投稿,不拥有所有权,该文观点仅代表作者本人,不代表本站立场。
访问者可将本网站提供的内容或服务用于个人学习、研究或欣赏,以及其他非商业性或非盈利性用途,但同时应遵守著作权法及其他相关法律的规定,不得侵犯本网站及相关权利人的合法权利。
本网站内容原作者如不愿意在本网站刊登内容,请及时通知本站,邮箱:80764001@qq.com,予以删除。
索引目录
© 2023 PV138 · 站点地图 · 免责声明 · 联系我们 · 问题反馈
京ICP备16004482号-1
京公网安备11010802040649号