Skip to content

Latest commit

 

History

History
109 lines (82 loc) · 6.57 KB

spring-security.md

File metadata and controls

109 lines (82 loc) · 6.57 KB

spring security 介绍

授权相关

@EnableGlobalMethodSecurity

Spring Security默认是禁用注解的,需要手动开启,作用是激活注解AOP校验,以方便Controller层代码判断用户是否具有访问权限 

  • securedEnabled = true 开启 @Secured 注解过滤权限,根据官方文档 介绍

    • Spring Security允许我们在定义URL访问或方法访问所应有的权限时使用Spring EL表达式, 在定义所需的访问权限时如果对应的表达式返回结果为true则表示拥有对应的权限,反之则无。 Spring Security可用表达式对象的基类是SecurityExpressionRoot, 其为我们提供了如下在使用Spring EL表达式对URL或方法进行权限控制时通用的内置表达式。
    • 参见 官方文档

  • jsr250Enabled = true开启@RolesAllowed 注解过滤权限(JSR-250注释不支持元注释。)

    • @RolesAllowed({"USER", "ADMIN"}) 需要具有"USER", "ADMIN"任意一种角色。可以省略前缀ROLE_,也可以是ROLE_ADMIN
    • @DenyAll 拒绝所有访问
    • @PermitAll
      • 允许所有访问

  • prePostEnabled = true 激活4个表达式注解

    • @PreAuthorize
      • 在方法调用之前,基于表达式的计算结果来限制对方法的访问
      • 这里可以调用方法的参数,也可以得到参数值,这是利用JAVA8的参数名反射特性,如果没用JAVA8,那么也可以利用Spring Security的@P标注参数,或者Spring Data的@Param标注参数
      •   @PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)")
  void changePassword(@P("userId") long userId ){...}
      - 参数userId的值是否等于principal中保存的当前用户的userId,或者当前用户是否具有ROLE_ADMIN权限
    • @PostAuthorize
      • 允许方法调用,但是如果调用后表达式计算结果为false,将抛出一个安全性异常
      • 方法执行之后执行,而且这里可以调用方法的返回值,如果EL为false,那么该方法也已经执行完了,可能会回滚。EL变量returnObject表示返回的对象。 @PostAuthorize("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')");
    • @PreFilter 允许方法调用,但必须在进入方法之前过滤输入值
      • 在方法执行之前执行,而且这里可以调用方法的参数,然后对参数值进行过滤或处理或修改,EL变量filterObject表示参数,如有多个参数,使用filterTarget注解参数。只有方法参数是集合或数组才行。(很少会用到,与分页技术不兼容)
    • @PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
      • 类似 @PreFilter

元注解

@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
 public  @interface MyPermission {}

@MyPermission 替代 @PreAuthorize("#contact.name == authentication.name")

源码帮助

Spring Security 中比较具有特色的就是 DSL,这个设计用起来非常灵活,但却让刚接触的小白十分头疼,一脸懵逼,写代码的时候各种搜索复制粘贴,好坏都有。DSL 设计的关键就是泛型,看Spring Security 代码你会发现他用泛型用上瘾了。

  • SecurityBuilder<O>

    • 他只有一个方法 O build() throws Exception,可以看到这个接口的作用就是创建一个对象

  • interface SecurityConfigurer<O, B extends SecurityBuilder<O>>

    • SecurityConfigurer 是 Spring Security dsl体系中最核心的一个接口,几乎 Spring Security 所有的dsl都围绕它来设计的
    • 他包含两个泛型,第一个O是object,相当于待配置的对象,第二次B表示一个O的Builder
    • 包含两个方法
      • init(B builder)
        • 框架会先调用该方法,做一些初始化的动作
      • configure(B builder)常用
        • 用户在该方法里通过builder配置。框架会调用该方法

  • abstract class SecurityConfigurerAdapter<O, B extends SecurityBuilder<O>> implements SecurityConfigurer<O, B>

    • SecurityConfigurer 的其中一个主要基类
    • 这个类里有两个变量,一个就是 builder,另一个是 List,负责在创建完毕后执行后置操作
    • 除继承的外关键方法
      • and()常用
        • 返回 builder,方便继续配置
      • protected postProcess()
        • 注意该方法是保护范围的,因此该方法应该在子类中调用

  • interface ObjectPostProcessor<T>

    • <O extends T> O postProcess(O object)

  • abstract class SecurityConfigurerAdapter

    • SecurityConfigurer 基础的抽象类

  • interface WebSecurityConfigurer extends SecurityConfigurer

    • 标记接口,无任何代码,Spring Security web方面比较核心的一个配置类,WebSecurityConfigurerAdapter 是它唯一的直接实现

  • abstract class WebSecurityConfigurerAdapter implements WebSecurityConfigurer

Spring security 有一套 dsl,其源码命名比较规范,如下:

  • final class AAAaaaConfigurer

    • DSL 模型类,一般位于configurers包路径下。通常负责AAA 模块 aaa部分的配置项,XxxConfigurer接口中configure方法的参数,一般可以通过 aaa.dsl()进行配置
    • 一般会伴有 final class AAAaaaConfigurerfinal class AAAbbbConfigurerfinal class AAAcccConfigurer

  • interface AAAConfigurer

    • 继承了配置项的接口,一般带有 configure(AAAaaaConfigurer aaa),参数的类型就是上面提到的final类型的配置项

  • class AAAConfigurerAdapter

    • 实现了 AAAConfigurer,作为AAAConfigurer 接口的适配器,如SecurityConfigurerAdapter实现了 SecurityConfigurer
    • 用户代码中应继承这种(AAAConfigurerAdapter),实现自定义的配置

  • class AAAConfiguration

    • 继承了 AAAConfigurerAdapter,通常这种类应该由用户代码提供。
    • 但为了演示如何使用,以及省略通用场景下的配置代码,Spring 提供了默认实现,且是自动配置的基础。 如果用户没有继承 AAAConfigurerAdapter 并注入到 Spring 中,那么 Spring 就会使用缺省配置。