欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页

Spring源代码解析(十):Spring Acegi框架授权的实现 博客分类: Spring框架 spring 

程序员文章站 2024-03-24 19:46:52
...

我们从FilterSecurityInterceptor我们从入手看看怎样进行授权的: 

Java代码  Spring源代码解析(十):Spring Acegi框架授权的实现
            
    
    博客分类: Spring框架 spring 

  1. //这里是拦截器拦截HTTP请求的入口  

  2.     public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)  

  3.         throws IOException, ServletException {  

  4.         FilterInvocation fi = new FilterInvocation(request, response, chain);  

  5.         invoke(fi);  

  6.     }  

  7. //这是具体的拦截调用  

  8.     public void invoke(FilterInvocation fi) throws IOException, ServletException {  

  9.         if ((fi.getRequest() != null) && (fi.getRequest().getAttribute(FILTER_APPLIED) != null)  

  10.             && observeOncePerRequest) {  

  11.            //在第一次进行过安全检查之后就不会再做了  

  12.             fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  

  13.         } else {  

  14.             //这是第一次收到相应的请求,需要做安全检测,同时把标志为设置好 -  FILTER_APPLIED,下次就再有请求就不会作相同的安全检查了  

  15.             if (fi.getRequest() != null) {  

  16.                 fi.getRequest().setAttribute(FILTER_APPLIED, Boolean.TRUE);  

  17.             }  

  18.             //这里是做安全检查的地方  

  19.             InterceptorStatusToken token = super.beforeInvocation(fi);  

  20.             //接着向拦截器链执行  

  21.             try {  

  22.                 fi.getChain().doFilter(fi.getRequest(), fi.getResponse());  

  23.             } finally {  

  24.                 super.afterInvocation(token, null);  

  25.             }  

  26.         }  

  27.     }  


我们看看在AbstractSecurityInterceptor是怎样对HTTP请求作安全检测的: 

Java代码  Spring源代码解析(十):Spring Acegi框架授权的实现
            
    
    博客分类: Spring框架 spring 

  1. protected InterceptorStatusToken beforeInvocation(Object object) {  

  2.     Assert.notNull(object, "Object was null");  

  3.   

  4.     if (!getSecureObjectClass().isAssignableFrom(object.getClass())) {  

  5.         throw new IllegalArgumentException("Security invocation attempted for object "  

  6.             + object.getClass().getName()  

  7.             + " but AbstractSecurityInterceptor only configured to support secure objects of type: "  

  8.             + getSecureObjectClass());  

  9.     }  

  10.     //这里读取配置FilterSecurityInterceptor的ObjectDefinitionSource属性,这些属性配置了资源的安全设置  

  11.     ConfigAttributeDefinition attr = this.obtainObjectDefinitionSource().getAttributes(object);  

  12.   

  13.     if (attr == null) {  

  14.         if(rejectPublicInvocations) {  

  15.             throw new IllegalArgumentException(  

  16.                   "No public invocations are allowed via this AbstractSecurityInterceptor. "  

  17.                 + "This indicates a configuration error because the "  

  18.                 + "AbstractSecurityInterceptor.rejectPublicInvocations property is set to 'true'");  

  19.         }  

  20.   

  21.         if (logger.isDebugEnabled()) {  

  22.             logger.debug("Public object - authentication not attempted");  

  23.         }  

  24.   

  25.         publishEvent(new PublicInvocationEvent(object));  

  26.   

  27.         return null// no further work post-invocation  

  28.     }  

  29.   

  30.   

  31.     if (logger.isDebugEnabled()) {  

  32.         logger.debug("Secure object: " + object.toString() + "; ConfigAttributes: " + attr.toString());  

  33.     }  

  34.     //这里从SecurityContextHolder中去取Authentication对象,一般在登录时会放到SecurityContextHolder中去  

  35.     if (SecurityContextHolder.getContext().getAuthentication() == null) {  

  36.         credentialsNotFound(messages.getMessage("AbstractSecurityInterceptor.authenticationNotFound",  

  37.                 "An Authentication object was not found in the SecurityContext"), object, attr);  

  38.     }  

  39.   

  40.     // 如果前面没有处理鉴权,这里需要对鉴权进行处理  

  41.     Authentication authenticated;  

  42.   

  43.     if (!SecurityContextHolder.getContext().getAuthentication().isAuthenticated() || alwaysReauthenticate) {  

  44.         try {//调用配置好的AuthenticationManager处理鉴权,如果鉴权不成功,抛出异常结束处理  

  45.             authenticated = this.authenticationManager.authenticate(SecurityContextHolder.getContext()  

  46.                                                                                          .getAuthentication());  

  47.         } catch (AuthenticationException authenticationException) {  

  48.             throw authenticationException;  

  49.         }  

  50.   

  51.         // We don't authenticated.setAuthentication(true), because each provider should do that  

  52.         if (logger.isDebugEnabled()) {  

  53.             logger.debug("Successfully Authenticated: " + authenticated.toString());  

  54.         }  

  55.         //这里把鉴权成功后得到的Authentication保存到SecurityContextHolder*下次使用  

  56.         SecurityContextHolder.getContext().setAuthentication(authenticated);  

  57.     } else {//这里处理前面已经通过鉴权的请求,先从SecurityContextHolder中去取得Authentication  

  58.         authenticated = SecurityContextHolder.getContext().getAuthentication();  

  59.   

  60.         if (logger.isDebugEnabled()) {  

  61.             logger.debug("Previously Authenticated: " + authenticated.toString());  

  62.         }  

  63.     }  

  64.   

  65.     // 这是处理授权的过程  

  66.     try {  

  67.         //调用配置好的AccessDecisionManager来进行授权  

  68.         this.accessDecisionManager.decide(authenticated, object, attr);  

  69.     } catch (AccessDeniedException accessDeniedException) {  

  70.         //授权不成功向外发布事件  

  71.         AuthorizationFailureEvent event = new AuthorizationFailureEvent(object, attr, authenticated,  

  72.                 accessDeniedException);  

  73.         publishEvent(event);  

  74.   

  75.         throw accessDeniedException;  

  76.     }  

  77.   

  78.     if (logger.isDebugEnabled()) {  

  79.         logger.debug("Authorization successful");  

  80.     }  

  81.   

  82.     AuthorizedEvent event = new AuthorizedEvent(object, attr, authenticated);  

  83.     publishEvent(event);  

  84.   

  85.     // 这里构建一个RunAsManager来替代当前的Authentication对象,默认情况下使用的是NullRunAsManager会把SecurityContextHolder中的Authentication对象清空  

  86.     Authentication runAs = this.runAsManager.buildRunAs(authenticated, object, attr);  

  87.   

  88.     if (runAs == null) {  

  89.         if (logger.isDebugEnabled()) {  

  90.             logger.debug("RunAsManager did not change Authentication object");  

  91.         }  

  92.   

  93.         // no further work post-invocation  

  94.         return new InterceptorStatusToken(authenticated, false, attr, object);  

  95.     } else {  

  96.         if (logger.isDebugEnabled()) {  

  97.             logger.debug("Switching to RunAs Authentication: " + runAs.toString());  

  98.         }  

  99.   

  100.         SecurityContextHolder.getContext().setAuthentication(runAs);  

  101.   

  102.         // revert to token.Authenticated post-invocation  

  103.         return new InterceptorStatusToken(authenticated, true, attr, object);  

  104.     }  

  105. }  


到这里我们假设配置AffirmativeBased作为AccessDecisionManager: 

Java代码  Spring源代码解析(十):Spring Acegi框架授权的实现
            
    
    博客分类: Spring框架 spring 

  1. //这里定义了决策机制,需要全票才能通过  

  2.     public void decide(Authentication authentication, Object object, ConfigAttributeDefinition config)  

  3.         throws AccessDeniedException {  

  4.         //这里取得配置好的迭代器集合  

  5.         Iterator iter = this.getDecisionVoters().iterator();  

  6.         int deny = 0;  

  7.         //依次使用各个投票器进行投票,并对投票结果进行计票  

  8.         while (iter.hasNext()) {  

  9.             AccessDecisionVoter voter = (AccessDecisionVoter) iter.next();  

  10.             int result = voter.vote(authentication, object, config);  

  11.             //这是对投票结果进行处理,如果遇到其中一票通过,那就授权通过,如果是弃权或者反对,那就继续投票  

  12.             switch (result) {  

  13.             case AccessDecisionVoter.ACCESS_GRANTED:  

  14.                 return;  

  15.   

  16.             case AccessDecisionVoter.ACCESS_DENIED:  

  17.             //这里对反对票进行计数  

  18.                 deny++;  

  19.   

  20.                 break;  

  21.   

  22.             default:  

  23.                 break;  

  24.             }  

  25.         }  

  26.         //如果有反对票,抛出异常,整个授权不通过  

  27.         if (deny > 0) {  

  28.             throw new AccessDeniedException(messages.getMessage("AbstractAccessDecisionManager.accessDenied",  

  29.                     "Access is denied"));  

  30.         }  

  31.   

  32.         // 这里对弃权票进行处理,看看是全是弃权票的决定情况,默认是不通过,由allowIfAllAbstainDecisions变量控制  

  33.         checkAllowIfAllAbstainDecisions();  

  34.     }  

  35. 具体的投票由投票器进行,我们这里配置了RoleVoter来进行投票:  

  36.     public int vote(Authentication authentication, Object object, ConfigAttributeDefinition config) {  

  37.         int result = ACCESS_ABSTAIN;  

  38.         //这里取得资源的安全配置  

  39.         Iterator iter = config.getConfigAttributes();  

  40.   

  41.         while (iter.hasNext()) {  

  42.             ConfigAttribute attribute = (ConfigAttribute) iter.next();  

  43.               

  44.             if (this.supports(attribute)) {  

  45.                 result = ACCESS_DENIED;  

  46.   

  47.                 // 这里对资源配置的安全授权级别进行判断,也就是匹配ROLE为前缀的角色配置  

  48.                 // 遍历每个配置属性,如果其中一个匹配该主体持有的GrantedAuthority,则访问被允许。  

  49.                 for (int i = 0; i < authentication.getAuthorities().length; i++) {  

  50.                     if (attribute.getAttribute().equals(authentication.getAuthorities()[i].getAuthority())) {  

  51.                         return ACCESS_GRANTED;  

  52.                     }  

  53.                 }  

  54.             }  

  55.         }  

  56.   

  57.         return result;  

  58.     }  


上面就是对整个授权过程的一个分析,从FilterSecurityInterceptor拦截Http请求入手,然后读取对资源的安全配置以后,把这些信息交由AccessDecisionManager来进行决策,Spring为我们提供了若干决策器来使用,在决策器中我们可以配置投票器来完成投票,我们在上面具体分析了角色投票器的使用过程。

相关标签: spring