投稿
  1. 清一色财经首页
  2. 科技
  3. 技术开发

聊聊 Spring Security 的新接口 AuthorizationManager

清一色 技术开发 阅读 21753

Spring Security 5.5 增加了一个新的授权管理器接口AuthorizationManager,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享以下最新的研究成果,一键四连走起。

Spring Security 5.5 增加了一个新的授权管理器接口AuthorizationManager,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享以下最新的研究成果,一键四连走起。

Spring Security 5.5
增加了一个新的授权管理器接口AuthorizationManager,它让动态权限的控制接口化了,更加方便我们使用了,今天就来分享以下最新的研究成果,一键四连走起。

抢一个玩玩吧,别忘了分享给别的同学们。

AuthorizationManager

它用来检查当前认证信息Authentication是否可以访问特定对象T。AuthorizationManager将访问决策抽象更加泛化。

@FunctionalInterface
public interface AuthorizationManager<T> {
 
 default void verify(Supplier<Authentication> authentication, T object) {
  AuthorizationDecision decision = check(authentication, object);
        // 授权决策没有经过允许就403
  if (decision != null && !decision.isGranted()) {
   throw new AccessDeniedException("Access Denied");
  }
        // todo 没有null 的情况
 }

    // 钩子方法。
 @Nullable
 AuthorizationDecision check(Supplier<Authentication> authentication, T object);

}

我们只需要实现钩子方法check就可以了,它将当前提供的认证信息authentication和泛化对象T进行权限检查,并返回AuthorizationDecision,AuthorizationDecision.isGranted将决定是否能够访问当前资源。AuthorizationManager提供了两种使用方式。

基于配置

为了使用AuthorizationManager,引入了相关配置是AuthorizeHttpRequestsConfigurer,这个配置类非常类似于第九章中的基于表达式的访问控制。

聊聊 Spring Security 的新接口 AuthorizationManager基于AuthorizationManager的访问控制.png

在Spring Security 5.5中,我们就可以这样去实现了:

      // 注意和 httpSecurity.authorizeRequests的区别
        httpSecurity.authorizeHttpRequests()
                .anyRequest()
                .access((authenticationSupplier, requestAuthorizationContext) -> {
                    // 当前用户的权限信息 比如角色
                    Collection<? extends GrantedAuthority> authorities = authenticationSupplier.get().getAuthorities();
                    // 当前请求上下文
                    // 我们可以获取携带的参数
                    Map<String, String> variables = requestAuthorizationContext.getVariables();
                    // 我们可以获取原始request对象
                    HttpServletRequest request = requestAuthorizationContext.getRequest();
                    //todo 根据这些信息 和业务写逻辑即可 最终决定是否授权 isGranted
                    boolean isGranted = true;
                    return new AuthorizationDecision(isGranted);
                });

这样门槛是不是低多了呢?同样地,它也可以作用于注解。

基于注解

AuthorizationManager还提供了基于注解的使用方式。但是在了解这种方式之前我们先来看看它的实现类关系:

聊聊 Spring Security 的新接口 AuthorizationManagerAuthorizationManager的实现

胖哥发现这一点也是从AuthorizationManager的实现中倒推出来的,最终发现了@EnableMethodSecurity这个注解,它的用法和@EnableGlobalMethodSecurity类似,对同样的三种注解(参见EnableGlobalMethodSecurity)进行了支持。用法也几乎一样,开启注解即可使用:

@EnableMethodSecurity(
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig  {
    
}

例子就不在这里重复了。

©本文为清一色官方代发,观点仅代表作者本人,与清一色无关。清一色对文中陈述、观点判断保持中立,不对所包含内容的准确性、可靠性或完整性提供任何明示或暗示的保证。本文不作为投资理财建议,请读者仅作参考,并请自行承担全部责任。文中部分文字/图片/视频/音频等来源于网络,如侵犯到著作权人的权利,请与我们联系(微信/QQ:1074760229)。转载请注明出处:清一色财经

(0)
打赏 微信扫码打赏 微信扫码打赏 支付宝扫码打赏 支付宝扫码打赏
清一色的头像清一色管理团队
0 0
上一篇 2023年5月5日 20:33
下一篇 2023年5月5日 20:33

相关推荐

发表评论

登录后才能评论

联系我们

在线咨询:1643011589-QQbutton

手机:13798586780

QQ/微信:1074760229

QQ群:551893940

工作时间:工作日9:00-18:00,节假日休息

关注微信