spring-security-oauth2(二十六) Spring Security授权源码解析
原理流程图
spring security的基本原理之前讲解过了。这章主要看后面两个:
FilterSecurityInterceptor
决定该用户是否有权限访问指定的资源
ExceptionTranslationFilter
异常处理,如果不能访问,则处理FilterSecurityInterceptor中抛出的异常
AnonymousAuthenticationFilter
AnonymousAuthenticationFilter : 匿名过滤器,位置固定,前面所有的都走完之后,会经过该过滤器。
这个类就是给用户一个匿名用户及权限,如果用户没有认证。
授权控制
FilterSecurityInterceptor(入口)
AccessDecisionManager 管理什么呢? AccessDecisionVoter :投票者
就是用来一系列的判定,是否可以进行访问什么的
AffirmativeBased: 只要有一票通过就通过(默认)
ConsensusBased :通过/不通过 哪一个票数多就遵循哪一个
UnanimousBased :只要有一票否决则不允许访问
AccessDecisionVoter 投票者 spring3-,由一堆实现类来解决
WebExpressionVoter: spring3+ 由该类全部包办,它投过就过,不过就不过(spring表达式)
SecurityConfig 所有的配置信息
ConfigAttribute 对应了每一个url的配置信息
SecurityContextHolder
Authentication 用户身份信息,用户拥有的权限信息
主流程:拿到 配置信息,用户身份信息,请求信息 然后给投票者进行投票;最后根据策略进行决定是否放行
未登录访问被拦截
结合上面的流程原理
访问:http://localhost:8060/user/1 进行断点调试
org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter
org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation
org.springframework.security.access.vote.AffirmativeBased#decide 默认实现
org.springframework.security.web.access.ExceptionTranslationFilter#doFilter 捕获异常处理
源码就简单分析到这里,可以自己断点调试。