接上一篇 總結Spring Security之 關于Authentication
* 關于授權
AcessDecisionManager是管授權的���。具體授權(authorization)的工作是交給一系列Voter來做的����。每個Voter都實現AccessDecisionVoter接口的vote方法,返回
int ACCESS_GRANTED = 1;(投贊成票)
int ACCESS_ABSTAIN = 0;(投棄權票)
int ACCESS_DENIED = -1; (投反對票)
AccessDecisioinManager有三種實現:
AffirmativeBased -當至少有一個投票者投允許訪問票時允許訪問
ConsensusBased - 當所有投票者都投允許訪問票時允許訪問
UnanimousBased - 當沒有投票者投拒絕訪問票時允許訪問
Spring Security提供了一個實用的voter:
RoleVoter participates in a vote when the secured resource has a configuration attribute whose name starts with ROLE_.
* 關于保護web
Spring Security提供一套filter chain保護web應用
注意FilterToBeanProxy
<filter>
<filter-name>Spring Security Filter Chain Proxy</filter-name>
<filter-class>org.acegisecurity.util.FilterToBeanProxy</filter-class>
<init-param>
<param-name>targetClass</param-name>
<param-value>org.acegisecurity.util.FilterChainProxy</param-value>
</init-param>
</filter>
跑下題���,說FilterToBeanProxy的作用:filter配置在web.xml里,它是不可能有IOC的概念的����,服務沒辦法自動注射到filter中,這時候有一個辦法就是使用WebApplicationContextUtils(如WebApplicationContextUtils.getWebApplicationContext(servletContext).getBean("securityManager"))�����。按照SpringSide的說法����,WebApplicationContextUtils適合廚房,衛生間,草坪��,屋頂等非常規場所�����,汗…這么做的一個缺點是����,Spring的API還是入侵到你的code里了(向來對Rod Johnson的入侵論不感冒�����,感覺這純是順手拽過來揍EJB的板磚��,不值得深究,pojo粉絲估計要拍我板磚了,俺穿個軟猬甲先���。入侵論深入人心之后,大家反而愿意對Spring的偶爾入侵指指點點��。另外不喜歡Spring的兩個方面是����,從DDD的角度看Spring不natural;contract first我覺得是扯淡的,或許在之后的博客亂噴一下我的看法)解決入侵的方法就是FilterToBeanProxy, 它把真正的工作代理給target class���,而spring拿到target class的類名后�,就歸它管了。 proxy是個簡單的模式�����,但用在這里感覺還是挺巧妙的�。
回到正題,filter chain里至少包括四個filter:
Integration Filter - 拿之前的authentication, 通常是從session里拿��。
AuthenticationProcessing Filter - 處理authentication request, 比如登錄的時候
Exception Translation Filter - 典型的處理是����,把AuthenticationException轉登錄頁,把AccessNeniedException轉403錯誤頁
Filter Security Interceptor - 它是真正做權限處理的�,把AuthenticaionManager 和AccessDecisionManager串起來.所以FilterSecurityInterceptor是重點��。
先看一個配置示例:
1: <beans:bean id="resourceSecurityInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
2: <beans:property name="authenticationManager" ref="authenticationManager"/>
3: <beans:property name="accessDecisionManager" ref="accessDecisionManager"/>
4: <beans:property name="objectDefinitionSource" ref="secureResourceFilterInvocationDefinitionSource" />
5: <beans:property name="observeOncePerRequest" value="false" />
6: <custom-filter after="LAST" />
7: </beans:bean>
這里objectDefinitionSource屬性來定義受保護的資源,保護web的時候�,“資源”代表url. 保護method的時候��,資源就代表method, 關于保護method之后再討論?����!居腥∩岬匾?spring security學習總結】首先讓我們來認識一下系統為我們提供的 ObjectDefinitionSource接口,objectDefinitionSource屬性正是指向此接口的實現類。其中有個重要方法����,ConfigAttributeDefinition getAttributes(Object object)方法用戶獲取保護資源對應的權限信息����,該方法返回一個ConfigAttributeDefinition對象���,該對象中實際就只有一個List列表�,我們可以通過使用 ConfigAttributeDefinition類的構造函數來創建這個List列表,這樣,安全攔截器就通過調用 getAttributes(Object object)方法來獲取ConfigAttributeDefinition對象���,并將該對象和當前用戶擁有的Authentication對象傳遞給 accessDecisionManager����,accessDecisionManager再將其傳遞給voter們,這些投票者從ConfigAttributeDefinition對象中獲取這個存放了訪問保護資源需要的權限信息的列表����,然后遍歷這個列表并與Authentication對象中GrantedAuthority[]數據中的用戶權限信息進行匹配���,如果匹配成功����,投票者就會投贊成票�����,否則就投反對票��,最后accessDecisionManager來統計這些投票決定用戶是否能訪問該資源?!居腥∩岬匾?spring security學習總結結束】如果你用的是role voter的話��,那么返回的ConfigAttributeDefinition其實就是一系列Role_XXX
說到這里小結一下之前說的認證,授權和"保護web”�,涉及三個概念���,user, role, resource. 認證的過程是鑒定你的身份�����,并且順便把role也關聯上。user和role是多對多的�����。 授權是處理role和resource之間的關系的����,也是多對多�����。典型的resource是servlet URL路徑�。從實戰的角度講����,authentication需要我們自己做的有兩個事情:一是通過實現UserService.loadUserByUsername(String userName)完成認證的本職工作;二是通過實現Users.getAuthorities()把user和role關聯起來�����。
* 保護方法:
Spring提供了兩種方式保護方法�,一種是AOP,另一種是annotation.
AOP:
如果你已經看懂了上面關于objectDefinitionSource的介紹和小結部分���,那么直接看配置應該很容易可以看懂:
1:
2: <bean id="autoProxyCreator"
3: class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
4:
5: <property name="interceptorNames">
6:
7: <list>
8:
9: <value>securityInterceptor</value>
10:
11: </list>
12: </property>
13: <property
14: name="beanNames">
15:
16: <list>
17:
18: <value>courseService</value>
19:
20: <value>billingService</value>
21:
22: </list>
23: </property>
24: </bean>
25:
26: <bean id="securityInterceptor"
27:
28: class="org.acegisecurity.intercept.method.MethodSecurityInterceptor">
29:
30: <property name="authenticationManager">
31: <ref
32: bean="authenticationManager"/>
33: </property>
34:
35: <property name="accessDecisionManager">
36: <ref
37: bean="accessDecisionManager"/>
38: </property>
39:
40: <property name="objectDefinitionSource">
41:
42: <value>
43:
44: com.springinaction.springtraining.service.CourseService.createCourse=ROLE_ADMIN
45:
46: com.springinaction.springtraining.service.CourseService.enroll*=ROLE_ADMIN,ROLE_REGISTRAR
47:
48: </value>
49: </property>
50: </bean>
注意上面的倒數幾行定義了方法和對應的role
annotation:
最終目標是通過這種方式定義權限
1: /**
2: * @@org.acegisecurity.SecurityConfig("ROLE_ADMIN") 3: * @@org.acegisecurity.SecurityConfig("ROLE_REGISTRAR") 4: */
5: public void enrollStudentInCourse(Course course, Student student) throws CourseException;
這個看起來很酷,但是有個drawback是�,如果你做的是產品���,并且允許用戶靈活配置role和method(capability)的功能���,那么annotation就不適用了�,因為annotation是寫死在code里的,compile time已經把role和method之間的map寫死了�。
這個沒啥理論邏輯可談���,直接貼spring in action的配置:
1:
2: <bean
3: id="attributes"class="org.springframework.metadata.commons.CommonsAttributes"/>
4:
5: <bean id="objectDefinitionSource"
6: class="org.acegisecurity.intercept.method.MethodDefinitionAttributes">
7:
8: <property name="attributes"><ref
9: bean="attributes"/></property>
10: </bean>
11:
12: <bean id="securityInterceptor"
13:
14: class="org.acegisecurity.intercept.method.MethodSecurityInterceptor">
15: …
16:
17: <property name="objectDefinitionSource">
18: <ref
19: bean="objectDefinitionSource"/>
20:
21: </property>
22: </bean>