日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
聊聊SpringSecurity的新接口AuthorizationManager

搶一個(gè)玩玩吧,別忘了分享給別的同學(xué)們。

公司主營業(yè)務(wù):網(wǎng)站建設(shè)、成都做網(wǎng)站、移動(dòng)網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳,提高企業(yè)的競爭能力。創(chuàng)新互聯(lián)建站是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化,感謝他們對(duì)我們的高要求,感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn),讓我們激情的團(tuán)隊(duì)有機(jī)會(huì)用頭腦與智慧不斷的給客戶帶來驚喜。創(chuàng)新互聯(lián)建站推出襄垣免費(fèi)做網(wǎng)站回饋大家。

AuthorizationManager

它用來檢查當(dāng)前認(rèn)證信息Authentication是否可以訪問特定對(duì)象T。AuthorizationManager將訪問決策抽象更加泛化。

@FunctionalInterface
public interface AuthorizationManager {
 
 default void verify(Supplier authentication, T object) {
  AuthorizationDecision decision = check(authentication, object);
        // 授權(quán)決策沒有經(jīng)過允許就403
  if (decision != null && !decision.isGranted()) {
   throw new AccessDeniedException("Access Denied");
  }
        // todo 沒有null 的情況
 }

    // 鉤子方法。
 @Nullable
 AuthorizationDecision check(Supplier authentication, T object);

}

我們只需要實(shí)現(xiàn)鉤子方法check就可以了,它將當(dāng)前提供的認(rèn)證信息authentication和泛化對(duì)象T進(jìn)行權(quán)限檢查,并返回AuthorizationDecision,AuthorizationDecision.isGranted將決定是否能夠訪問當(dāng)前資源。AuthorizationManager提供了兩種使用方式。

基于配置

為了使用AuthorizationManager,引入了相關(guān)配置是AuthorizeHttpRequestsConfigurer,這個(gè)配置類非常類似于第九章中的基于表達(dá)式的訪問控制。

基于AuthorizationManager的訪問控制.png

在Spring Security 5.5中,我們就可以這樣去實(shí)現(xiàn)了:

      // 注意和 httpSecurity.authorizeRequests的區(qū)別
        httpSecurity.authorizeHttpRequests()
                .anyRequest()
                .access((authenticationSupplier, requestAuthorizationContext) -> {
                    // 當(dāng)前用戶的權(quán)限信息 比如角色
                    Collection authorities = authenticationSupplier.get().getAuthorities();
                    // 當(dāng)前請(qǐng)求上下文
                    // 我們可以獲取攜帶的參數(shù)
                    Map variables = requestAuthorizationContext.getVariables();
                    // 我們可以獲取原始request對(duì)象
                    HttpServletRequest request = requestAuthorizationContext.getRequest();
                    //todo 根據(jù)這些信息 和業(yè)務(wù)寫邏輯即可 最終決定是否授權(quán) isGranted
                    boolean isGranted = true;
                    return new AuthorizationDecision(isGranted);
                });

這樣門檻是不是低多了呢?同樣地,它也可以作用于注解。

基于注解

AuthorizationManager還提供了基于注解的使用方式。但是在了解這種方式之前我們先來看看它的實(shí)現(xiàn)類關(guān)系:

AuthorizationManager的實(shí)現(xiàn)

胖哥發(fā)現(xiàn)這一點(diǎn)也是從AuthorizationManager的實(shí)現(xiàn)中倒推出來的,最終發(fā)現(xiàn)了@EnableMethodSecurity這個(gè)注解,它的用法和@EnableGlobalMethodSecurity類似,對(duì)同樣的三種注解(參見EnableGlobalMethodSecurity)進(jìn)行了支持。用法也幾乎一樣,開啟注解即可使用:

@EnableMethodSecurity(
        securedEnabled = true,
        jsr250Enabled = true)
public class MethodSecurityConfig  {
    
}

例子就不在這里重復(fù)了。


本文名稱:聊聊SpringSecurity的新接口AuthorizationManager
本文URL:http://www.5511xx.com/article/cojcopg.html