亚洲在线久爱草,狠狠天天香蕉网,天天搞日日干久草,伊人亚洲日本欧美

<menuitem id="yrigz"><var id="yrigz"><small id="yrigz"></small></var></menuitem>

<button id="yrigz"><i id="yrigz"><pre id="yrigz"></pre></i></button>

<label id="yrigz"></label>

<strike id="yrigz"><rp id="yrigz"><center id="yrigz"></center></rp></strike>

<span id="yrigz"><code id="yrigz"><ins id="yrigz"></ins></code></span><menuitem id="yrigz"><dl id="yrigz"></dl></menuitem>

我的購物車

已加入門課程

購物車里空空如也

快去這里選購你中意的課程

我的訂單中心

全部開發者教程

Spring Security

Spring Security 基礎

Spring Security 簡介 Spring Security 起步 Servlet 安全架構 Spring Security 安全過濾器 Spring Security 異常回收

Spring Security 認證

Spring Security 基本認證組件 Spring Security 用戶名密碼認證 OAuth2 集成社交網站認證 OAuth2 集成構造認證授權服務器 OAuth2 集成資源服務器 SAML2 認證集成 CAS 統一認證集成集成JAAS認證集成OPENID認證實現記住我功能實現預認證集成X.509認證

Spring Security 鑒權

Spring Security 鑒權原理 Servlet 實現鑒權訪問控制表達式安全對象實現域對象安全

Spring Security 擴展

CSRF 保護安全響應頭 HTTP 協議安全 HTTP 訪問限制加密模塊單元測試

首頁慕課教程 Spring Security Servlet 實現鑒權

童雷 · 更新于 2021-05-11

上一節

Spring Security 鑒權原理

訪問控制表達式

下一節

Spring Security 在 Servlet 請求中實現鑒權

1. 前言

Servlet 是 Java Web 應用的最常見場景，Spring Security 對 Servlet 的權限認定過程實現了規范化和流程化。

本節主要討論在 Servlet 應用中，如何通過 Spring Security 實現鑒權。

2. Servlet 權限控制的流程

Servlet 鑒權主要圍繞著 FilterSecurityInterceptor 類展開，該類作為一個安全過濾器，被放置在 FilterChainProxy 中。

圖片描述

圖 1. Servlet 請求鑒權流程

具體流程如下：

FilterSecurityInterceptor 從 SecurityContextHolder 中獲取 Authentication 對象；
FilterSecurityInterceptor 從 HttpServletRequest、HttpServletREsponse、 FilterChain 中創建 FilterInvocation 對象；
將創建的 FilterInvocation 對象傳遞給 SecurityMetadataSource 用來獲取 ConfigAttribute 對象集合；
最后，將 Authentication、FilterInvocation 和 ConfigAttribute 對象傳遞給 AccessDecisionManager 實例驗證權限：
- 如果驗證失敗，將拋出 AccessDeniedException 異常，并由 ExceptionTranslationFilter 接收并處理；
- 如果驗證通過，FilterSecurityInterceptor 將控制權交還給 FilterChain，使程序繼續執行。

3. Servlet 權限控制的配置實現

默認情況下，Spring Security 的權限要求所有的請求都需要首先通過認證。相當于以下配置描述：

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize
            .anyRequest().authenticated()
        );
}

如果我們需要配置 Spring Security 對不同請求有不同的處理規則時，可通過以下方式修改配置：

protected void configure(HttpSecurity http) throws Exception {
    http
        // ...
        .authorizeRequests(authorize -> authorize                                  
            .mvcMatchers("/resources/**", "/signup", "/about").permitAll()         
            .mvcMatchers("/admin/**").hasRole("ADMIN")                             
            .mvcMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")   
            .anyRequest().denyAll()                                                
        );
}

以上這段代碼實現了如下功能：

指定了多種規則，每種規則按照其配置的順序決定優先級；
匹配了多個 URL 規則，對于 /resources、/signup、/about 允許任何用戶訪問；
任何以 /admin/ 開頭的地址都要求用戶具有管理員權限 ROLE_ADMIN，其中 ROLE_ 前綴是 Spring Security 默認添加的，用戶無需做特殊處理；
任何以 /db/ 為開頭的地址需要同時擁有 ROLE_ADMIN 和 ROLE_DBA 角色；
沒有被上述 URL 地址匹配的地址都將被禁止訪問，加上這一條非常有助于提升系統的安全性。

4. 小結

本節討論了如何用 Spring Security 規范化 Servlet 鑒權過程：

Spring Security 對 Servlet 請求的權限控制，主要依賴于 FilterSecurityInterceptor 實現；
Spring Security 默認對每一個 Servlet 請求都要求用戶已通過認證；
Spring Security 支持對 Servlet 的不同 URL 規則配置不同的權限規則。

下節我們討論如何通過「訪問控制表達式」實現多樣化的鑒權規則。

上一節

Spring Security 鑒權原理

下一節

訪問控制表達式

我要提出意見反饋

索引目錄

Spring Security 在 Servlet 請求中實現鑒權

2. Servlet 權限控制的流程

3. Servlet 權限控制的配置實現

購課補貼
聯系客服咨詢優惠詳情

幫助反饋 APP下載

慕課網APP
您的移動學習伙伴

掃描二維碼
關注慕課網微信公眾號