springboot动态网站开发52SpringSecurity授权管理53课件讲解.pptxVIP

SpringSecurity授

一

目CONTENTS权管理

SpringSecurity授

录二

权流程

SpringSecurity自

三

定义授权

SpringSecurity授权管理

是SpringSecurity的之一，是根据用户的来用户

的过程，拥有资源的访问权限则可正常访问，没有访问的权限

时则会被拒绝访问。认证是为了保证用户身份的合法性，而则是为

了地对进行，授权是在发生的，以控

制不同的用户访问不同的资源。SpringSecurity提供了授权方法，开发

者通过这些方法进行用户访问控制，下面对

以及进行讲解。

SpringSecurity授权流程

实现需要对用户的进行

，校验用户的权限是否可以操作

指定的资源。SpringSecurity使用标

准建立了对，

最终实现对资源的。

01拦截请求。已认证用户访问受保护的Web资源将被SecurityFilterChain中

FilterSecurityInterceptor实例对象拦截。

获取资源访问策略。FilterSecurityInterceptor实例对象会通过SecurityMetadataSource的子

02类DefaultFilterInvocationSecurityMetadataSource实例对象中获取要访问当前资源所需要的

权限，权限封装在Collection实例对象中。SecurityMetadataSource是读取访问策略的抽象，

具体读取的内容，就是开发者配置的访问规则。

FilterSecurityInterceptor通过AccessDecisionManager进行授权决策，若决策通过，则允许

03访问资源，否则将禁止访问。AccessDecisionManager中包含一系列AccessDecisionVoter，

可对当前认证过的身份是否有权访问对应的资源进行投票，AccessDecisionManager根据投票

结果做出最终决策。

SpringSecurity自定义授权

l根据的，通常可以将授权的方式分为和授权，这两种授权

方式都会调用进行授权决策。下面分别对这两种自定义授权的

方式进行讲解。

lSpringSecurity的底层实现本质是通过多个形成的完成，过滤器链中提供

了，设置安全拦截规则，以用户的。是

SecurityBuilder接口的实现类，是HTTP安全相关的构建器，SpringSecurity中可以通过

HttpSecurity对象设置，并通过该对象。

可以根据不同的业务场景，对。当开

发者需要配置项目的，可以调用HttpSecurity对象对应的实现。

HttpSecurity类的常用方法

方法