自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

聊聊 Spring Security 的新接口 AuthorizationManager

作者:碼農(nóng)小胖哥
開發(fā) 架構(gòu)
Spring Security 5.5 增加了一個(gè)新的授權(quán)管理器接口AuthorizationManager,它讓動(dòng)態(tài)權(quán)限的控制接口化了,更加方便我們使用了,今天就來分享以下最新的研究成果,一鍵四連走起。

Spring Security 5.5 增加了一個(gè)新的授權(quán)管理器接口AuthorizationManager,它讓動(dòng)態(tài)權(quán)限的控制接口化了,更加方便我們使用了,今天就來分享以下最新的研究成果,一鍵四連走起。

搶一個(gè)玩玩吧,別忘了分享給別的同學(xué)們。

AuthorizationManager

它用來檢查當(dāng)前認(rèn)證信息Authentication是否可以訪問特定對象T。AuthorizationManager將訪問決策抽象更加泛化。

@FunctionalInterface
public interface AuthorizationManager<T> {
 
 default void verify(Supplier<Authentication> authentication, T object) {
  AuthorizationDecision decision = check(authentication, object);
        // 授權(quán)決策沒有經(jīng)過允許就403
  if (decision != null && !decision.isGranted()) {
   throw new AccessDeniedException("Access Denied");
  }
        // todo 沒有null 的情況
 }

    // 鉤子方法。
 @Nullable
 AuthorizationDecision check(Supplier<Authentication> authentication, T object);

}

我們只需要實(shí)現(xiàn)鉤子方法check就可以了,它將當(dāng)前提供的認(rèn)證信息authentication和泛化對象T進(jìn)行權(quán)限檢查,并返回AuthorizationDecision,AuthorizationDecision.isGranted將決定是否能夠訪問當(dāng)前資源。AuthorizationManager提供了兩種使用方式。

基于配置

為了使用AuthorizationManager,引入了相關(guān)配置是AuthorizeHttpRequestsConfigurer,這個(gè)配置類非常類似于第九章中的基于表達(dá)式的訪問控制。

基于AuthorizationManager的訪問控制.png

在Spring Security 5.5中,我們就可以這樣去實(shí)現(xiàn)了:

      // 注意和 httpSecurity.authorizeRequests的區(qū)別
        httpSecurity.authorizeHttpRequests()
                .anyRequest()
                .access((authenticationSupplier, requestAuthorizationContext) -> {
                    // 當(dāng)前用戶的權(quán)限信息 比如角色
                    Collection<? extends GrantedAuthority> authorities = authenticationSupplier.get().getAuthorities();
                    // 當(dāng)前請求上下文
                    // 我們可以獲取攜帶的參數(shù)
                    Map<String, String> variables = requestAuthorizationContext.getVariables();
                    // 我們可以獲取原始request對象
                    HttpServletRequest request = requestAuthorizationContext.getRequest();
                    //todo 根據(jù)這些信息 和業(yè)務(wù)寫邏輯即可 最終決定是否授權(quán) isGranted
                    boolean isGranted = true;
                    return new AuthorizationDecision(isGranted);
                });

這樣門檻是不是低多了呢?同樣地,它也可以作用于注解。

基于注解

AuthorizationManager還提供了基于注解的使用方式。但是在了解這種方式之前我們先來看看它的實(shí)現(xiàn)類關(guān)系:

AuthorizationManager的實(shí)現(xiàn)

胖哥發(fā)現(xiàn)這一點(diǎn)也是從AuthorizationManager的實(shí)現(xiàn)中倒推出來的,最終發(fā)現(xiàn)了@EnableMethodSecurity這個(gè)注解,它的用法和@EnableGlobalMethodSecurity類似,對同樣的三種注解(參見EnableGlobalMethodSecurity)進(jìn)行了支持。用法也幾乎一樣,開啟注解即可使用:

@EnableMethodSecurity(
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig  {
    
}

例子就不在這里重復(fù)了。


責(zé)任編輯:武曉燕 來源: 碼農(nóng)小胖哥
接口Spring管理器
相關(guān)推薦

2021-04-23 07:33:10

SpringSecurity單元

2019-11-22 09:40:40

SpringJava編程語言

2023-04-10 11:41:15

2021-08-29 18:36:57

項(xiàng)目

2021-03-08 00:11:02

Spring注解開發(fā)

2009-06-18 14:18:23

Spring secu

2021-01-14 10:00:57

Restful接口

2018-04-24 09:05:09

容器存儲接口

2020-07-02 07:44:27

Spring教程異步

2023-04-28 08:43:46

2021-06-04 08:48:46

Spring ClouMaven Centr版本

2024-10-23 08:13:30

Spring響應(yīng)式編程

2022-11-26 00:00:02

2023-12-08 12:12:21

2022-05-19 11:29:14

計(jì)時(shí)攻擊SpringSecurity

2023-07-26 07:13:55

函數(shù)接口Java 8

2021-09-18 09:45:33

前端接口架構(gòu)

2023-11-20 08:01:38

并發(fā)處理數(shù)Tomcat

2020-05-27 08:05:33

MybatisMapper接口

2022-08-30 08:50:07

Spring權(quán)限控制
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號