Spring Security教程 Vol 8. AccessDecisionVoter组件介绍

第八期 AccessDecisionVoter组件介绍

这一期主要咱们将介绍访问控制三剑客负责对受权规则作角色的组件——AccessDecisionVoter接口。以及对Spring Security默认提供的几个基础AccessDecisionVoter实现类作一个详细的说明，最后咱们将会客制化一个基于时间的AccessDecisionVoter实现用于实战说明。

• AccessDecisionVoter接口说明
• Spring Security的AccessDecisionVoter们
• 客制化实例：基于时间的AccessDecisionVoter

1、AccessDecisionVoter接口说明

AccessDecisionVoter主要的职责就是对它所对应的访问规则做出判断，当前的访问规则是否能够获得受权。 AccessDecisionVoter接口的主要方法其实与以前的 AuthenticationProvider很是的类似。

boolean supports(ConfigAttribute attribute);

	int vote(Authentication authentication, S object, Collection<ConfigAttribute> attributes);
复制代码

• supports方法用于判断对于当前ConfigAttribute访问规则是否支持；
• 若是支持的状况下，vote方法对其进行判断投票返回对应的受权结果。 最终的受权结果一共有三种,分别是赞成、弃权和反对。说实话这个规则和联合国安理会投票差很少性质。当前一个访问可能存在多个规则的状况下，每个AccessDecisionVoter投出本身的那一票，最终的投票结果是仍是要看当前的投票规则，好比是超过1/3仍是要过半数。而投票规则的判断则是被放置了在了AccessDecisionManager进行完成。

int ACCESS_GRANTED = 1;
	int ACCESS_ABSTAIN = 0;
	int ACCESS_DENIED = -1;
复制代码

2、 Spring Security的AccessDecisionVoter们

经过上面对于AccessDecisionVoter的基本介绍，咱们得知了一个设计上的大原则：AccessDecisionVoter的实现是为了知足对应规则ConfigAttribute。大致上来讲AccessDecisionVoter是与ConfigAttribute一一对应的。 让咱们回一下在上一期咱们介绍的主要的几种ConfigAttribute实现：

• 基于Web表达式的WebExpressionConfigAttribute
• 基于@Secured注解的SecurityConfig
• 基于@Pre-@Post注解的PostInvocationExpressionAttribute 咱们能够在下图中轻松的找到他门对应的AccessDecisionVoter。

  

  这边咱们重点说一下在客制化场景下被利用的SecurityConfig配置和他默认的两个AccessDecisionVoter:
• RoleVoter
• AuthenticatedVoter 首先，咱们来回忆下SecurityConfig的使用形式，即利用@Secured注解编写一个表达式：

@Secured("ROLE_USER")
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
复制代码

咱们了解到了AccessDecisionVoter和ConfigAttribute的关联关系是经过supports方法进行判断，咱们分别对RoleVoter和AuthenticatedVoter的supports方法进行浏览：

RoleVoter RoleVoter是Spring Security中默认基于角色规则的核心组件。在UserDetailsService中建立用户咱们都会须要设置对用用户的角色信息。在默认配置下用户的角色信息都是以"ROLE_"+角色名的形式存储的。 对应的在RoleVoter的supports方法中会对表达式是否以'ROLE_'开始做为对应启用规则的判断。若是规则表达式是以ROLE_开始的，RoleVoter则会去遍历对用Authentication是否存在对应的角色，若是存在则返回经过，若是不存在则返回拒绝。

public class RoleVoter implements AccessDecisionVoter<Object> {
	// ~ Instance fields
	// ================================================================================================

	private String rolePrefix = "ROLE_";

	// ~ Methods
	// ========================================================================================================

	public String getRolePrefix() {
		return rolePrefix;
	}

	/** * Allows the default role prefix of <code>ROLE_</code> to be overridden. May be set * to an empty value, although this is usually not desirable. * * @param rolePrefix the new prefix */
	public void setRolePrefix(String rolePrefix) {
		this.rolePrefix = rolePrefix;
	}

	public boolean supports(ConfigAttribute attribute) {
		if ((attribute.getAttribute() != null)
				&& attribute.getAttribute().startsWith(getRolePrefix())) {
			return true;
		}
		else {
			return false;
		}
	}
}
复制代码

AuthenticatedVoter AuthenticatedVoter的使用场景就比较特殊，他并非一个基于身份信息的访问控制，而是对于对应Auhentication的认证形式的一个判断。在以前的身份验证部分咱们有了解过，在Spring Security设计中，咱们能够铜鼓RememberMeService的方式不使用用户名和密码，而是经过存储于Cookie的信息进行受权登陆。在平常工程中，对于一些敏感操做，咱们要求当前的用户并非一个基于历史进行受权认证的用户，好比在进行支付的状况下，若是咱们但愿用户是在本次访问中是经过用户名和密码进行登陆展开的会话操做，而不是一个基于一个月前cookies进行登陆都有用户。在这个场景下咱们须要即可以使用@Secured("IS_AUTHENTICATED_FULLY")去限定用户是一个经过彻底验证的用户，而不是经过RememberMe方式认证的用户。 在AuthenticatedVoter的supports方法中，便会判断当前的表达式是为他所支持的三种认证方法的访问控制：

• IS_AUTHENTICATED_FULLY
• IS_AUTHENTICATED_REMEMBERED
• IS_AUTHENTICATED_ANONYMOUSLY 若是彻底匹配，则会当前的Authentication对象的受权模式进行判断，返回相应的投票结果。

public class AuthenticatedVoter implements AccessDecisionVoter<Object> {
	// ~ Static fields/initializers
	// =====================================================================================

	public static final String IS_AUTHENTICATED_FULLY = "IS_AUTHENTICATED_FULLY";
	public static final String IS_AUTHENTICATED_REMEMBERED = "IS_AUTHENTICATED_REMEMBERED";
	public static final String IS_AUTHENTICATED_ANONYMOUSLY = "IS_AUTHENTICATED_ANONYMOUSLY";
	// ~ Instance fields
	// ================================================================================================

	private AuthenticationTrustResolver authenticationTrustResolver = new AuthenticationTrustResolverImpl();

	// ~ Methods
	// ========================================================================================================

	private boolean isFullyAuthenticated(Authentication authentication) {
		return (!authenticationTrustResolver.isAnonymous(authentication) && !authenticationTrustResolver
				.isRememberMe(authentication));
	}

	public boolean supports(ConfigAttribute attribute) {
		if ((attribute.getAttribute() != null)
				&& (IS_AUTHENTICATED_FULLY.equals(attribute.getAttribute())
						|| IS_AUTHENTICATED_REMEMBERED.equals(attribute.getAttribute()) || IS_AUTHENTICATED_ANONYMOUSLY
							.equals(attribute.getAttribute()))) {
			return true;
		}
		else {
			return false;
		}
	}
}
复制代码

3、 客制化实例：基于时间的AccessDecisionVoter

对于AccessDecisionVoter结构、责任和Spring Security中提供的实现类有了一个基础的了解后。咱们经过一个客制化的实例来增强这部分的理解。 咱们将客制化一个基于时间的访问控制，在系统时间的分钟数是奇数的状况下才能够被访问，好比10点01分能够访问，可是10点02分则不能够被访问。

设计规则

首先，咱们对访问规则进行设计。咱们如同RoleVoter与AuthenticatedVoter同样基于@Secured注解的表达式进行扩展。咱们拟定的规则名为"MINUTE_ODD"，当方法级被注解了@Secured("MINUTE_ODD")状况下，表示当前方法只有在知足系统时间的分钟数为奇数下才能够被访问。

客制化MinuteBasedVoter

接下来，咱们编写一个MinuteBasedVoter扩展AuthenticatedVoter。

public class MinuteBasedVoter implements AccessDecisionVoter {
}
复制代码

而后，咱们实现对应的suppors方法用于完成咱们对咱们拟定的规则的判断。当入参ConfigAttribute 的表达式属性与咱们预设的"MINUTE_ODD"一致时，那么咱们便返回true告知框架，MinuteBasedVoter须要对该规则进行vote的投票操做。

public class MinuteBasedVoter implements AccessDecisionVoter {
    public static final String IS_MINUTE_ODD= "MINUTE_ODD";

    @Override
    public boolean supports(ConfigAttribute attribute) {
        if ((attribute.getAttribute() != null)
                && attribute.getAttribute().equals(IS_MINUTE_ODD)) {
            return true;
        }
        else {
            return false;
        }
    }


    @Override
    public boolean supports(Class clazz) {
        return true;
    }
}
复制代码

最后，咱们将vote的投票核心业务逻辑完成：当时间为奇数的时候则投赞同票，而在时间为偶数的时候则投一张明确的反对票。

@Override
    public int vote(Authentication authentication, Object object, Collection collection) {
        if(LocalDateTime.now().getMinute() % 2 != 0){
            return ACCESS_GRANTED;

        }else{
            return ACCESS_DENIED;
        }
    }
复制代码

Java Config配置

最后，说一下如何将新的AccessDecisionVoter添加到现有的AccessDecisionManager中。我本身也百度了一下了中文世界和英文世界关于这方便的示例已经官方文档，真的是五花八门都有。最多见的是从新组织了一个AccessDecisionManager注入回Spring Security中，我很不推荐本身在方法中去new一个AccessDecisionManager。由于AccessDecisionManager的初始化过程当中涉及的不仅是AccessDecisionVoter，一不当心可能由于少设置什么组件就致使一部分默认行为没被正确的配置上去。 我推荐初学者方法是对于扩展Secured这类基于方法级的注解，单独新建一个Java Config类，而后重写原有框架中初始化AccessDecisionManager的方法：

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
@Configuration
public class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {
    @Override
    protected AccessDecisionManager accessDecisionManager() {
        AffirmativeBased affirmativeBased = (AffirmativeBased) super.accessDecisionManager();
        affirmativeBased.getDecisionVoters().add(new MinuteBasedVoter());
        return affirmativeBased;
    }
}
复制代码

虽然代码可能丑、有对类型强转，相对来讲好理解控制不少。 在添加了MethodSecurityConfiguration的Java Config以后，咱们在对受到@Secured("MINUTE_ODD")注解限制的controller方式时便会看到如下的投票日志:

Secure object: ReflectiveMethodInvocation: public java.lang.String Attributes: [MINUTE_ODD]
Voter: org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter@456f4439, returned: 0
Voter: org.springframework.security.access.vote.RoleVoter@38b13fa8, returned: 0
Voter: org.springframework.security.access.vote.AuthenticatedVoter@590fa701, returned: 0
Voter: com.newnil.demo.security.MinuteBasedVoter@135c04e9, returned: 1
Authorization successful
复制代码

AccessDecisionVoter组件们依次投票，而由于当前时间是奇数，因此咱们的MinuteBasedVoter投出一票值为1的赞同票。

结尾

这一期详细介绍了AccessDecisionVoter这一为访问控制提供核心判断及投票的组件。同时也经过框架默认提供与客制化实现了解了其工做原理。 下一期咱们将最后一个核心组件AccessDecisionManager是如何对全部AccessDecisionVoter的投票结果进行汇总，以及如何以什么评价规则告知框架最终的受权结果进行说明。 咱们下期再见。