授权系统源码_（十）SpringSecurity授权和鉴权原理.pdfVIP

授权系统源码_ （⼗）SpringSecurity授权和鉴权原理 ⼀、SpringSecurity框架中的授权源码分析 ⼀个完整的权限系统总体上来说可以分为两个⽅⾯： 1、认证（Authentication）认证（Authentication） 2、授权（Authorization）授权（Authorization） 上篇⽂章中我们已经⾃定义了认证流程的⾻架，实现了让框架帮我们管理会话以及持久化登录信息到Session的功能。不过默认情况下，所 有⽤户对于所有url，只需要登录就能够访问，这可不是我们想要的。⼀个完整的系统，应该将⽤户以某种维度进⾏分类，不同的⽤户具有 不同的权限，从⽽能够访问不同的URL。 所以授权的关注点主要有两个： 1、⽤户和权限的映射 2、权限和Url的映射 1和2结合最终实现⽤户和可访问的Url的映射 回顾上节的的⾃定义配置中有这么⼀段代码： 要想了解SpringSecurity是如何进⾏授权的，就从这段代码⼊⼿。 authorizeRequests函数中向HttpSecurity中添加了⼀个配置类，ExpressionUrlAuthorizationConfigurerauthorizeRequests ExpressionUrlAuthorizationConfigurer，关 于SecurityConfigurerSecurityConfigurer和SecurityBuilderSecurityBuilder的设计模式我再之前已经介绍了，如果有兴趣可以去看⼀下，能够加深对框架的理解： landexiang：（⼋）从框架设计的⾓度来看springSecurityFilterC 按照框架设计的原理，分析⼀个SecurityConfigurer要从四个关键点⼊⼿：继承结构继承结构、构造函数构造函数、init⽅法init⽅法、configure⽅法configure⽅法。 1、继承结构 从类图上可以直观的发现，授权配置相关功能也是⼀个很复杂设计。有的读者可能没看过类图，这⾥稍微解释⼀下： 红⾊的线表⽰内部类，蓝⾊箭头表⽰继承，⽩⾊实线箭头表⽰组合关系（可以理解为A有⼀个属性为B，B作为A这个整体的⼀部分），⽩⾊ 虚线表⽰依赖关系，图上的依赖关系体现为创建关系（⽐如A中new了类型为B的对象）。 从类图中观察，授权功能相关配置⼜可以分为两个部分：ConfigurerConfigurer和RegistryRegistry 1.1 授权相关的Configurer Configurer指的就是SecurityConfigurer，Registry是Configurer的内部定义，具体是什么请请继续往后看。 AbstractHTTPConfigurer就不⽤了解了，HttpSecurity中使⽤的SecurityConfigurer⼏乎都继承于这个抽象类，提供了两个辅助性的功 能，其最主要的功能还是体现在语义层次上，即表⽰⼦类是服务于HttpSecurity的。所以图上的类我们 从AbstractInterceptUrlConfigurerAbstractInterceptUrlConfigurer开始着⼿。 。先来看下这个抽象类的注释： 从注释中可以了解到AbstractInterceptUrlConfigurer主要是给FilterSecurityInterceptor、其他的SecurityConfigurer的 sharedObject、AuthenticationManager提供⽀持。 AbstractInterceptUrlConfigurer有两个实现类 从HttpSecurity的配置可以看出，框架中默认使⽤的实现类为ExpressURLAuthorizationConfigurer。ExpressURLAuthorizationConfigurer。 通过注释可以了解到ExpressURLAuthorizationConfigurer在抽象⽗类AbstractInterceptUrlConfigurer的基础之上额外提供了——基 于SPEL表达式的授权功能，并且⾄少有⼀个@RequestMapping注解所代表的url映射到⼀个 ConfigAttribute，ExpressURLAuthorizationConfigurer才有意义。 从注释中可以了解到两个信息： 1、SpringSecurity框架默认是使⽤SPEL表达式来对URL进⾏授权的 2、ConfigAttribute对象和@RequestMapping映射的URL有⼀定联系 另外可以发现ExpressURLAuthorizatio