Spring Security教程 Vol 9. AccessDecisionManager组件介绍

时间  2019-11-30
标签 spring security 教程 vol accessdecisionmanager 组件 介绍 栏目 Spring 繁體版
原文   原文链接

第九期 AccessDecisionManager组件介绍

做为访问控制的最后一期,但确实整个章节部分里最简单的一部分。ConfigAttribute负责表述规则,AccessDecisionVoter负责为规则表决,但最终的访问受权是否经过是由AccessDecisionManager进行决策的。 这一期咱们将主要介绍Spring Security中提供的三种主要决策模型。java

1、AccessDecisionManager接口说明

AccessDecisionManager的接口表述很是的简单,简单来讲就一个主要功——为当前的访问规则进行决策,是否给予访问的权限。不管是decide方法仍是supports方法,AccessDecisionManager自己并不完成相关的逻辑,所有交由其管理的AccessDecisionVoter依次去判断与执行。而根据decide的逻辑规则不一样,Spring Security中分别存在三种不一样decide决策规则的AccessDecisionManager,它们分别是:spring

  • AffirmativeBased
  • UnanimousBased
  • ConsensusBased 在Spring Security默认设置中,使用的是AffirmativeBased
    AccessDecisionManager接口

在详细介绍三种AccessDecisionManager的实现类前,咱们先再来梳理下AccessDecisionManagerAccessDecisionVoter的在决策框架中的关系。 在框架设计中AccessDecisionManagerAccessDecisionVoter的集合类,管理着对于不一样规则进行判断与表决的AccessDecisionVoter们。 但不一样的是,AccessDecisionVoter分别都只会对本身支持的规则进行表决,如一个资源的访问规则存在多个并行时,便不能以某一个AccessDecisionVoter的表决做为最终的访问受权结果。AccessDecisionManager的职责即是在这种场景下,汇总全部AccessDecisionVoter的表决结果后给出一个最终的决策。从而致使框架中预设了三种不一样决策规则的AccessDecisionManager的实现类。 express

image.png

2、一票经过AffirmativeBased

第一个咱们来介绍,Spring Security中默认提供的访问决策模型AffirmativeBased。一句话来讲AffirmativeBased的逻辑就是一票经过——当前只要存在任何一个投了赞同表的AccessDecisionVoter便会最终给予相关受权。bash

affirmative adj. 确定的;积极的 n. 确定语;同意的一方app

假设存在资源A,在RoleVoter中要求有Admin的角色,而在MinutedOddVoter中缺只要是奇数分钟则能够访问。那么在AffirmativeBased模型下,即时用于没有Admin的角色,只要知足奇数分钟的条件同样能够访问目标资源。框架

@Secured({"IS_AUTHENTICATED_FULLY","ROLE_USER","MINUTE_ODD"})
    @RequestMapping("/")
    public String root(@Autowired Authentication authentication) {
        return "index";
    }
复制代码

当咱们奇数分钟数访问对应资源的时候:ide

Voter: org.springframework.security.access.vote.RoleVoter@508280a4, returned: -1
Voter: org.springframework.security.access.vote.AuthenticatedVoter@2846f995, returned: -1
Voter: com.newnil.demo.security.MinuteBasedVoter@1ec9ec13, returned: 1
Authorization successful
复制代码

即便RoleVoterAuthenticatedVoter存在明确的反对,可是由于MinuteBasedVoter知足了时间的要求,同样会获得一个确定的结果。 这边有一个经验,在默认的AffirmativeBased的模型下客制化AccessDecisionVoter若是不是很决定性的规则,诸如一些辅助性的访问限制避免投出明确的赞同表,而是换个角度,投出明确的反对票,如不知足反对的状况能够投出弃权票。咱们在上一期客制化的MinuteBasedVoter即是一个很差的反面教材^_^。测试

3、一票否决UnanimousBased

第二个,咱们再来介绍一个备选的决策规则,即UnanimousBased所表明的一票不然制,全部人都没有反对意见。this

unanimous adj. 全体一致的;意见一致的;无异议的spa

其规则也十分容易懂,只要任意一个AccessDecisionVoter投出了反对票,则不管有多少个赞同票都没法受权访问权限。UnanimousBased表明了与AffirmativeBased彻底对立的规则,有点相似五常表决的一票不然制,好比前几年著名的新闻“土耳其要求取消俄罗斯的一票否决票,这个提案被俄罗斯一票否决了”。 一样回到代码上来,咱们经过调整Java Config配置代码将使用的AccessDecisionManager实现变动为UnanimousBased

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
@Configuration
public class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {
    @Override
    protected AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<? extends Object>> decisionVoters = new ArrayList();
        ExpressionBasedPreInvocationAdvice expressionAdvice = new ExpressionBasedPreInvocationAdvice();
        expressionAdvice.setExpressionHandler(this.getExpressionHandler());
        decisionVoters.add(new RoleVoter());
        decisionVoters.add(new AuthenticatedVoter());
        decisionVoters.add(new MinuteBasedVoter());
        return new UnanimousBased(decisionVoters);
    }
}
复制代码

对于一样的场景下,如用户已经登陆并拥有了对应的权限而由于当前时间不是偶数分钟,那么最终的决策结果由于有一票否决变为了不可访问

Voter: org.springframework.security.access.vote.RoleVoter@ddc490, returned: 0
 Voter: org.springframework.security.access.vote.AuthenticatedVoter@27f66035, returned: 1
 Voter: com.newnil.demo.security.MinuteBasedVoter@4f6b68aa, returned: -1
Access is denied (user is not anonymous);
复制代码

4、少数服从多数ConsensusBased

最后出场的ConsensusBased多是三个规则里最“民主”,即少数服从多数制。

consensus n. 一致;舆论;合意 ConsensusBased对全部投票的AccessDecisionVoter的意见进行汇总,以数量多那一方的结果为准。 可是存在一种特殊状况——平票:若是产平生票则根据配置allowIfEqualGrantedDeniedDecisions来判断是否经过,在默认状况下allowIfEqualGrantedDeniedDecisions值是true。

一样的咱们修改Java Config来测试下ConsensusBased的行为:

@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
@Configuration
public class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {
    @Override
    protected AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<? extends Object>> decisionVoters = new ArrayList();
        ExpressionBasedPreInvocationAdvice expressionAdvice = new ExpressionBasedPreInvocationAdvice();
        expressionAdvice.setExpressionHandler(this.getExpressionHandler());
        decisionVoters.add(new RoleVoter());
        decisionVoters.add(new AuthenticatedVoter());
        decisionVoters.add(new MinuteBasedVoter());
        ConsensusBased consensusBased = new ConsensusBased(decisionVoters);
        consensusBased.setAllowIfEqualGrantedDeniedDecisions(false);//能够调整平票逻辑
        return consensusBased;
    }
}
复制代码

咱们一样在偶数分钟访问,在登陆后访问受限制的资源:

Voter: org.springframework.security.access.vote.RoleVoter@2c1ae72c, returned: 1
Voter: org.springframework.security.access.vote.AuthenticatedVoter@60d5234, returned: 1
Voter: com.newnil.demo.security.MinuteBasedVoter@6a34393c, returned: -1
Authorization successful
复制代码

与以前UnanimousBased的表现不一样,由于赞同票大于否对票因此咱们最终仍是获取了访问的权限。

结尾

做为访问控制的最后一个组件,因为有了以前的铺垫和了解,三种决策规则相比之下会显得简单不少。而且在一般的状况下,对于AccessDecisionManager咱们也不太会存在任何客制化的可能性。咱们只须要了解如何选择合适的AccessDecisionManager与如何编写相关的Java配置代码便可。 从下一期开始,咱们将进入新的主题开始介绍Spring Security中的config包下关于配置的一些内容。 咱们下期再见。

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程