Spring Security實現自定義訪問策略

Posted on by

前言:

我們將探索一個用戶共享電子表格的系統,每個電子表格的訪問權限單獨存儲。我們已經盡可能簡單地對權限存儲進行瞭顯式建模;想象一下,它在調用其他地方的記錄系統。請註意,在這個簡化的實現中,訪問決定是二進制的:要麼有訪問權,要麼沒有。在這個實現中,讀/寫訪問權沒有區別。

1.安全註釋

打開SpreadsheetService會顯示一個用@Secured註釋的方法。

@Secured("com.jdriven.model.Spreadsheet")
public void read(Spreadsheet spreadsheet) {
  log.info("Reading {}", spreadsheet);
}

@Secured 註解參數是我們要限制的域對象訪問的完全限定類名。該方法具有相同類型的參數,這是我們將保護的特定實例。

方便地,@Secured註解不需要按名稱引用參數;它可以在我們的AccessDecisionVoter中單獨按類型檢索。

2.投票機制

訪問決策由AccessDecisionManager做出,它將授權給已配置的AccessDecisionVorters列表。投票者可以根據自己的應用程序邏輯選擇批準或拒絕特定的方法調用。如果投票人不能決定某個特定的方法調用,它可以選擇棄權,將決定權留給其他投票人。默認情況下,您將獲得基於確認的訪問決策管理器,該管理器允許在隻有一個投票人投票授予訪問權限時調用方法,而不管是否有投票拒絕訪問。

我們的四個目的是,我們需要一個自定義投票者,根據存儲的訪問記錄驗證用戶對電子表格的訪問。我們通過擴展AbstractAclVoter來實現這一點,對於已配置的已處理域對象類和方法調用,AbstractAclVoter可以查找參數域對象實例。我們將實現投票方法,該方法由經過身份驗證的用戶、安全方法調用和一組ConfigAttributes傳遞。

@Override
public int vote(Authentication authentication, MethodInvocation methodInvocation, Collection<ConfigAttribute> attributes) {
  for (ConfigAttribute configAttribute : attributes) {
    if (supports(configAttribute)) {
      User principal = (User) authentication.getPrincipal();
      Spreadsheet domainObjectInstance = (Spreadsheet) getDomainObjectInstance(methodInvocation);
      return hasSpreadsheetAccess(principal, domainObjectInstance) ? ACCESS_GRANTED : ACCESS_DENIED;
    }
  }
  return ACCESS_ABSTAIN;
}

我們的投票者被傳遞一個或多個ConfigAttributes,就像傳遞給@Secured註釋本身一樣,我們通過調用佈爾支持(ConfigAttribute)來驗證它:

@Override
public boolean supports(ConfigAttribute attribute) {
  return getProcessDomainObjectClass().getName().equals(attribute.getAttribute());
}

考慮到這些實現,隻有當ConfigAttribute與配置的ProcessDomainObjectClass不匹配時,投票者才會棄權。根據存儲的訪問記錄,在所有其他情況下,投票人將投票批準或拒絕訪問。

3.配置

我們需要配置應用程序的兩個部分,以便觸發自定義訪問決策投票者邏輯。

首先,我們需要通過@EnableGlobalMethodSecurity(securedEnabled=true)激活@Secured註釋,這是在AccessDecisionConfiguration中完成的。

其次,我們需要將電子表格AccessDecisionVoter添加到AccessDecisionManager考慮的決策投票者列表中。為此,我們擴展瞭GlobalMethodSecurity配置以覆蓋AccessDecisionManager AccessDecisionManager()。我們稱之為super.accessDecisionManager()獲取默認的基於確認的訪問決策管理器,隻需在末尾添加我們自己的投票人。

如果您需要保護多個域對象類型,可以很容易地向列表中添加更多投票者。

4.測驗

我們的電子表格AccessDecisionVoterit測試使用模擬用戶Alice和Bob,以及惡意的第三用戶Eve,他們都試圖訪問單個電子表格。

我們可以看到,對電子表格的訪問遵守每個測試開始時存儲的規則:

  • Alice可以訪問電子表格。
  • Bob還可以訪問電子表格。
  • Eve無法訪問電子表格,因為她收到瞭AccessDeniedException。

到此這篇關於Spring Security實現自定義訪問策略的文章就介紹到這瞭,更多相關Spring Security自定義訪問策略內容請搜索WalkonNet以前的文章或繼續瀏覽下面的相關文章希望大傢以後多多支持WalkonNet!

推薦閱讀: