Spring Security小教程 Vol 6. 初識訪問控制

廢柴大叔阿基拉發表於2019-04-01

前言

從這期開始我們將主要對Spring Security的另一個領域Authority，通常被稱為訪問控制的部分進行說明。相比較Authentication身份驗證而言，客製化訪問控制的可能性相對會低許多。所以我們對這部分主要是理解流程和分析設計上的一些動機為主。管理訪問控制對大多數讀者來說都都不太陌生，Spring Security基於角色管理的訪問控制學習起來也會較身份驗證來的又有代入感。

第六期初識訪問控制

訪問控制的概述
訪問控制中主要的元件及實現介紹

一、關於整體結構

在之前的分享中，我們已經瞭解了在Spring Security中，對於訪問的身份驗證是通過WebFilter作為入口。然後呼叫AuthenticationManager暴露的驗證服務介面進行驗證的。同樣的，在驗證身份之後，如訪問受限資源，同樣也會如果身份驗證一樣，被某個WebFilter作為入口。然後呼叫一個名為AccessDecisionManager的訪問控制決策管理器進行驗證。

在Spring Security中，主要關於訪問控制的程式碼都被放在了org.springframework.security.access.vote包中，其中主要的介面分為三種:

AccessDecisionManager: 負責整個訪問控制授權部分的投票策略和管理；
AccessDecisionVoter: 負責對訪問控制的規則進行表決，是否授權使用者訪問目標資源；
ConfigAttribute: 用於儲存相關的訪問控制規則

用一句話描述他們的責任就是：AccessDecisionVoter負責對ConfigAttribute進行表決，AccessDecsionManager彙總表決，最終向框架返回最終的授權結果。

二、ConfigAttribute元件介紹

在一開始，我們先來回顧下，最早的應用中，我們是如何進行訪問控制的:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/").permitAll()
                .antMatchers("/user").hasRole("USER")
                .antMatchers("/user").denyAll()
                .and()
                .formLogin();
    }
複製程式碼

我們通過在configure方法中編寫路徑模式和相應的限定規則來配置整個應用的訪問控制，基於Web表示式的訪問控制規則，除了支援Spring Security中預設提供的一些限制方法以外，也可以額通過.antMatchers("/user").access("hasRole('USER') or hasRole('ADMIN')")的access方法加上表示式的形式進行擴充套件。表示式更是可以將表達判斷委託給一個Java Class去完成。比如下方示例程式碼就是講表示式的判斷委託給了名為webSecurity的Bean中的check方法去完成。

http
        .authorizeRequests()
                .antMatchers("/user/**").access("@webSecurity.check(authentication,request)")
                ...
複製程式碼

除了Web表示式以外，Spring Security還提供了幾種進行訪問控制配置的方式，其中最主要的一種便是通過註解在方法級對Controller和Service的方法進行對應的訪問控制的設定。

其中Spring Security對應方法級的註解主要又可以分為兩類：第一類 @Secured 註解 - secured-annotations 第二類 @PreAuthorize, @PreFilter, @PostAuthorize and @PostFilter - pre-post-annotations

而在Spring Security中以上兩種註解預設是禁用的，我們需要通過啟用配置才可以進行使用。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
@EnableWebSecurity
public class WebSecurityConfig  extends WebSecurityConfigurerAdapter {
}
複製程式碼

關於相關訪問控制規則的詳細介紹和應用，我們將在以後的專題中進行逐一說明。當前只是為將來的分析打一下基礎。

三、AccessDecisionVoter元件介紹

AccessDecisionVoter可是說是整個訪問控制、授權業務的核心。每一個AccessDecisionVoter都需要對它所支援的訪問控制規則進行投票。投票結果只有以下三種情況:

	int ACCESS_GRANTED = 1; // 贊成
	int ACCESS_ABSTAIN = 0;  // 棄權
	int ACCESS_DENIED = -1;  // 反對
複製程式碼

從AccessDecisionVoter的介面方法簽名可以看出，其主要兩個方法分別對應的職責一個是判斷是否支援當前的訪問控制規則，另一個便是對支援的訪問規則進行投票。在Spring Security提供的AccessDecisionVoter實現類主要有:

基於Web表達是配置的WebExpressionVoter;
基於角色名字首'ROLE_'對角色限制判斷的RoleVoter;
根據當前Authentication授權形式判斷的AuthenticationVoter。而三種Voter對應的訪問控制規則又有些略微的不同，在身份驗證模組我們瞭解到基本上每一個AuthenticationProvider都需要定製化一種AuthenticationToken'。而在訪問控制模組中，同樣的每一個AccessDecisionVoter也可以定製化一種ConfigAttribute。例如，對於WebExpressionVoter其對應的便是之前提到的WebExpressionConfigAttribute`。

框架提供的AccessDecisionVoter一般可以滿足中小應用下的訪問控制的基本場景。如果我們當前開發的大型應用有複雜的訪問控制模型，那麼AccessDecisionVoter的客製化便是我們一定會面對的問題，在將來的專題裡我們會單獨針對如何客製化AccessDecisionVoter進行說明。

四、AccessDecisionManager元件介紹

AccessDecisionManager對於訪問控制業務的作用與AuthenticationManager對於身份驗證的業務的作用差不多。其中一個便是對暴露了唯一的訪問控制驗證介面。而與AuthenticationManager不同的地方是，在Spring Security中針對AuthenticationManager只提供了一種ProviderManager實現類，而AccessDecisionManager缺因為有不同的表決制度分別提供了三種實現類：

AffirmativeBased 一票贊同制
UnanimousBased 一票否決制
ConsensusBased 少數服從多數

Spring Security在預設的配置下使用的AccessDecisionManager是AffirmativeBased。如果需要變更的，則可以通過配置檔案修改注入的Bean即可，比如下面的Java Config形式。

    @Bean
    public AccessDecisionManager accessDecisionManager() {
        List<AccessDecisionVoter<? extends Object>> decisionVoters
                = Arrays.asList(

                new WebExpressionVoter(),
                new RoleVoter(),
                new AuthenticatedVoter()
        );
        return  new UnanimousBased(decisionVoters);
    }
複製程式碼

對於AccessDecisionManager而言，框架提供的的三種表決制度在絕大多數情況都已經足夠強大。我們對於其的瞭解便只需要集中在如何配置和管理使用的AccessDecisionVoter便可。

結尾

訪問控制相關通常是我們使用Spring Security客製化擴充套件最頻繁的模組。所以與別的模組介紹的流程不同，本次是先將整個訪問控制模組的主要介面和元件進行基本的介紹。在後面幾期中，我們將對每個元件和其應用進行展開討論。

Spring Security教程 Vol 7. 訪問規則ConfigAttribute
2019-04-17
Spring
初識Spring Security
2014-12-05
Spring
Spring Security原始碼分析十：初識Spring Security OAuth2
2018-01-22
Spring原始碼OAuth
Spring Security教程 Vol 9. AccessDecisionManager元件介紹
2019-04-23
Spring元件
Spring Security教程 Vol 8. AccessDecisionVoter元件介紹
2019-04-20
Spring元件
Spring Security 實戰乾貨：基於配置的介面角色訪問控制
2019-11-14
Spring
Spring Security 實戰乾貨：基於註解的介面角色訪問控制
2019-11-20
Spring
Spring Security小教程 Vol 4. 使用使用者名稱和密碼驗證身份-UsernamePasswordAuthenticationFilter
2019-03-25
Spring密碼Filter
專欄丨Spring Security系列教程之Spring Security的四種許可權控制方式
2021-11-05
Spring
Spring Security實現基於RBAC的許可權表示式動態訪問控制
2022-04-19
Spring
Spring Boot Security配置教程
2019-05-26
Spring Boot
使用Spring Security控制會話
2019-05-21
Spring會話
惠普宣佈收購安全初創公司Voltage Security
2015-02-12
Spring Security 實戰乾貨：使用 JWT 認證訪問介面
2019-11-08
SpringJWT
初識Spring Boot
2018-08-25
Spring Boot
初識Spring IoC
2022-03-08
Spring
Spring Boot 初識
2017-05-30
Spring Boot
Spring Security（二）登入與安全控制
2018-09-22
Spring
Spring Boot 整合 Spring Security 入門案例教程
2020-04-21
Spring Boot
Mongodb訪問控制
2020-02-19
MongoDB
Flask——訪問控制
2019-08-24
Flask
RabbitMQ訪問控制
2018-01-18
MQ
Nginx訪問控制
2017-11-13
Nginx
Swift 訪問控制
2017-07-27
Swift
Spring Security原始碼分析十三：Spring Security 基於表示式的許可權控制
2018-01-31
Spring原始碼
Spring Boot+Spring Security+Thymeleaf 簡單教程
2019-01-22
Spring Boot
spring security 問題解決方案
2010-01-20
Spring
長沙Java培訓班分享：Spring教程之Spring Security的四種許可權控制方式
2021-10-27
JavaSpring
檔案和目錄的訪問控制(2)新增訪問控制
2017-01-11
ABAC訪問控制模型
2020-11-17
模型
JoomlaACL訪問控制列表
2011-02-05
OOM
Spring Security系列教程之一簡介
2018-07-02
Spring
Spring小知識
2018-11-14
Spring
Oracle Doc list involved with security
2012-01-31
Oracle
初識NIO之Java小Demo
2018-08-21
Java
Spring Security
2022-05-01
Spring
IOS - ACL （訪問控制列表）
2020-08-08
iOS
HTTP之訪問控制「CORS」
2019-05-04
HTTPCORS