Spring Security 三 基于角色访问控制过程详解

Spring Security 3 基于角色访问控制过程详解

访问控制：

由于我们配置了访问控制（授权）的默认拦截器org.springframework.security.web.access.intercept.FilterSecurityInterceptor。其主要业务方法是InterceptorStatusToken beforeInvocation(Object object)


该方法会将URL传给SecurityMetadataSource获取匹配该URL所有参数ConfigAttribute（拥有权限的角色）的集合。


如果该用户尚未认证（登录），或拦截器配置了“始终认证”，则拦截器会将该用户的登录信息（未登录则跳转到登陆页面）重新认证，并加载角色信息。


随后将用户认证信息（Authentication），用户请求访问的URL，以及配置集合（Collection<ConfigAttribute>）交由accessDecisionManager的decide方法。通过则方法继续，否则抛出AccessDeniedException。


调用runAsManager尝试转换认证信息，这是为了方便适应两层访问控制架构。runAsManager就可以将外部公开的认证，转换为内部认证，继续之后的访问。


之后返回包含访问拦截信息的对象InterceptorStatusToken。以便afterInvocation(InterceptorStatusToken, Object)方法运行。


安全信息元数据提供者：


默认实现DefaultFilterInvocationSecurityMetadataSource构造时通过addSecureUrl(String pattern, String method, Collection<ConfigAttribute> attrs)方法将传入参数转换为私有成员变量Map<String, Map<Object, Collection<ConfigAttribute>>> httpMethodMap缓存，并通过Collection<ConfigAttribute> lookupAttributes(String url, String method)获得第一个能匹配的上的URL模式，并返回其所需要的角色集合Collection<ConfigAttribute>

访问控制管理者：

访问控制管理者AccessDecisionManager需要投票者AccessDecisionVoter列表，调用后者的vote方法。而前者则负责统计所有投票者的投票情况，并做出是否授权的决定。而框架提供了三个统计策略，分别是“只要有一个投票者同意即同意”，“需要所有投票者同意才同意”，“少数服从多数”。分别对应着

AbstractAccessDecisionManager的三个子类AffirmativeBased, UnanimousBased，ConsensusBased。

?

基于角色的投票者：


RoleVoter实现了AccessDecisionVoter接口，其vote方法是这样写的。