聊聊 Spring Security 的新接口 AuthorizationManager
Spring Security 5.5 增加了一個(gè)新的授權(quán)管理器接口AuthorizationManager,它讓動(dòng)態(tài)權(quán)限的控制接口化了,更加方便我們使用了,今天就來分享以下最新的研究成果,一鍵四連走起。
搶一個(gè)玩玩吧,別忘了分享給別的同學(xué)們。
AuthorizationManager
它用來檢查當(dāng)前認(rèn)證信息Authentication是否可以訪問特定對(duì)象T。AuthorizationManager將訪問決策抽象更加泛化。
@FunctionalInterface
public interface AuthorizationManager<T> {
default void verify(Supplier<Authentication> authentication, T object) {
AuthorizationDecision decision = check(authentication, object);
// 授權(quán)決策沒有經(jīng)過允許就403
if (decision != null && !decision.isGranted()) {
throw new AccessDeniedException("Access Denied");
}
// todo 沒有null 的情況
}
// 鉤子方法。
@Nullable
AuthorizationDecision check(Supplier<Authentication> authentication, T object);
}
我們只需要實(shí)現(xiàn)鉤子方法check就可以了,它將當(dāng)前提供的認(rèn)證信息authentication和泛化對(duì)象T進(jìn)行權(quán)限檢查,并返回AuthorizationDecision,AuthorizationDecision.isGranted將決定是否能夠訪問當(dāng)前資源。AuthorizationManager提供了兩種使用方式。
基于配置
為了使用AuthorizationManager,引入了相關(guān)配置是AuthorizeHttpRequestsConfigurer,這個(gè)配置類非常類似于第九章中的基于表達(dá)式的訪問控制。
基于AuthorizationManager的訪問控制.png
在Spring Security 5.5中,我們就可以這樣去實(shí)現(xiàn)了:
// 注意和 httpSecurity.authorizeRequests的區(qū)別
httpSecurity.authorizeHttpRequests()
.anyRequest()
.access((authenticationSupplier, requestAuthorizationContext) -> {
// 當(dāng)前用戶的權(quán)限信息 比如角色
Collection<? extends GrantedAuthority> authorities = authenticationSupplier.get().getAuthorities();
// 當(dāng)前請(qǐng)求上下文
// 我們可以獲取攜帶的參數(shù)
Map<String, String> variables = requestAuthorizationContext.getVariables();
// 我們可以獲取原始request對(duì)象
HttpServletRequest request = requestAuthorizationContext.getRequest();
//todo 根據(jù)這些信息 和業(yè)務(wù)寫邏輯即可 最終決定是否授權(quán) isGranted
boolean isGranted = true;
return new AuthorizationDecision(isGranted);
});
這樣門檻是不是低多了呢?同樣地,它也可以作用于注解。
基于注解
AuthorizationManager還提供了基于注解的使用方式。但是在了解這種方式之前我們先來看看它的實(shí)現(xiàn)類關(guān)系:
AuthorizationManager的實(shí)現(xiàn)
胖哥發(fā)現(xiàn)這一點(diǎn)也是從AuthorizationManager的實(shí)現(xiàn)中倒推出來的,最終發(fā)現(xiàn)了@EnableMethodSecurity這個(gè)注解,它的用法和@EnableGlobalMethodSecurity類似,對(duì)同樣的三種注解(參見EnableGlobalMethodSecurity)進(jìn)行了支持。用法也幾乎一樣,開啟注解即可使用:
@EnableMethodSecurity(
securedEnabled = true,
jsr250Enabled = true)
public class MethodSecurityConfig {
}
例子就不在這里重復(fù)了。
