Spring Security授权 AccessDecisionManager

Posted 吃饭了吗

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security授权 AccessDecisionManager相关的知识,希望对你有一定的参考价值。

在前面那篇博客有一段配置: 
Xml代码  技术分享
  1. <http auto-config="false" disable-url-rewriting="true" use-expressions="true" entry-point-ref="dtAuth"  
  2.      create-session="never">  
  3.      <!-- <session-management session-authentication-strategy-ref="dtsession"/> -->  
  4.      <intercept-url pattern="/unread/get" access="isAuthenticated()"/>  
  5.      <intercept-url pattern="/authtest.xhtm" access="hasRole(‘working‘)"/>  
  6.      <intercept-url pattern="/authtest1.xhtm" access="hasRole(‘trac‘)"/>  
  7.      <intercept-url pattern="/cmmt/uc" access="isAuthenticated()"/>  
  8.      <intercept-url pattern="/favicon.ico" access="denyAll"/>  
  9.      <intercept-url pattern="/**" access="permitAll"/>  
  10.      <custom-filter position="PRE_AUTH_FILTER" ref="dtSessionMgr"/>  
  11.  </http>  


pattern表示url,access表示url的权限,但这个isAuthenticated()具体在哪里执行呢?原来Spring提供授权机制,由org.springframework.security.access.AccessDecisionManager这个接口来实现。 

这个接口定义了这个方法: 
Java代码  技术分享
  1. void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes)  
  2.     throws AccessDeniedException, InsufficientAuthenticationException;  


对应上面的配置:object就是url,configAttributes就是一个access。常用的实现类是AffirmativeBased 








以上是关于Spring Security授权 AccessDecisionManager的主要内容,如果未能解决你的问题,请参考以下文章

如何使用 Spring Security 模拟身份验证和授权

认证与授权Spring Security的授权流程

认证与授权Spring Security的授权流程

Spring Security:授权后发出 403 单授权

针对授权标头的Spring Security OAuth2 CORS问题

Spring Security + Keycloak 授权:如何将端点与资源相关联?