Spring Security 自定义资源访问权限过滤器Fliter ,参考FilterSecurityInteceptor



尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。
 
    
id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
name="authenticationManager" ref="authenticationManager"/>
name="accessDecisionManager" ref="accessDecisionManager"/>
name="securityMetadataSource">
pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。


尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。
 
     
id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
name="authenticationManager" ref="authenticationManager"/>
name="accessDecisionManager" ref="accessDecisionManager"/>
name="securityMetadataSource">
pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。

尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。
 
     
id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
name="authenticationManager" ref="authenticationManager"/>
name="accessDecisionManager" ref="accessDecisionManager"/>
name="securityMetadataSource">
pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。


尽管spring security提供了许多filter(参考《spring security 标准Filter及其在filter chain的顺序》)处理不同事情,但在web应用的安全防护上核心filter有如下图所示四个核心的filter,而FilterSecurityInterceptor负责处理HTTP资源的安全性。整个过程需要依赖AuthenticationManager、AccessDecisionManager和 FilterInvocationSecurityMetadataSource。



AuthenticationManager:认证管理器,实现用户认证的入口
AccessDecisionManager:访问决策器,决定某个用户具有的角色,是否有足够的权限去访问某个资源
FilterInvocationSecurityMetadataSource: 资源源数据定义,即定义某一资源可以被哪些角色访问

他们的关系在spring security配置文件中的配置方式如下代码所示。
 
      
id="filterSecurityInterceptor"
class="org.springframework.security.web.access.intercept.FilterSecurityInterceptor">
name="authenticationManager" ref="authenticationManager"/>
name="accessDecisionManager" ref="accessDecisionManager"/>
name="securityMetadataSource">
pattern="/secure/super/**" access="ROLE_WE_DONT_HAVE"/>
pattern="/secure/**" access="ROLE_SUPERVISOR,ROLE_TELLER"/>

通过源码分析我们知道这三个类都是 FilterSecurityInterceptor的属性,而且三个都是定义的接口。当然 FilterInvocationSecurityMetadataSource之外另外两个属性在其父类AbstractSecurityInterceptor中。



上面配置方式中属性 securityMetadataSource是使用 Namespace特性来进行的实现,它的弊端是资源和角色的关系固化在配置文件中,而要实现在数据库中灵活配置目的,我们需要自己实现一个 FilterInvocationSecurityMetadataSource实现类。从中获取资源角色关系即可。

你可能感兴趣的:(SSH)