Spring Security FAQ如何在应用程序中动态定义受保护的 URL？

红太狼 2023-09-25 12:27 4阅读 0赞

[常见问题解答 (spring.io)][_spring.io]

人们经常询问如何将安全 URL 和安全元数据属性之间的映射存储在数据库中，而不是在应用程序上下文中。

你应该问自己的第一件事是，你是否真的需要这样做。如果应用程序需要保护，则它还要求根据定义的策略对安全性进行全面测试。在部署到生产环境中之前，它可能需要审核和验收测试。具有安全意识的组织应该意识到，通过在运行时更改配置数据库中的一两行来修改安全设置，其勤奋测试过程的好处可能会立即消失。如果您已经考虑到了这一点（也许在您的应用程序中使用多层安全性），那么Spring安全性允许您完全自定义安全元数据的来源。如果您愿意，可以使其完全动态。

方法和 Web 安全性都受到子类的保护，子类配置了 一个子类，从中获取特定方法或筛选器调用的元数据。对于Web安全性，拦截器类是，它使用标记接口 。它所操作的“受保护对象”类型是 。使用的默认实现（在命名空间中和显式配置拦截器时）将 URL 模式列表及其相应的“配置属性”列表（的实例）存储在内存映射中。`AbstractSecurityInterceptor``SecurityMetadataSource``FilterSecurityInterceptor``FilterInvocationSecurityMetadataSource``FilterInvocation``<http>``ConfigAttribute`

要从备用源加载数据，您必须使用显式声明的安全过滤器链（通常是Spring Security的）来自定义Bean。不能使用命名空间。然后，您将实现为特定 \[[1][]\] 随意加载数据。一个非常基本的大纲看起来像这样：`FilterChainProxy``FilterSecurityInterceptor``FilterInvocationSecurityMetadataSource``FilterInvocation`

public class MyFilterSecurityMetadataSource implements FilterInvocationSecurityMetadataSource {
    
        public List<ConfigAttribute> getAttributes(Object object) {
          FilterInvocation fi = (FilterInvocation) object;
            String url = fi.getRequestUrl();
            String httpMethod = fi.getRequest().getMethod();
            List<ConfigAttribute> attributes = new ArrayList<ConfigAttribute>();
    
            // Lookup your database (or other source) using this information and populate the
            // list of attributes
    
            return attributes;
        }
    
        public Collection<ConfigAttribute> getAllConfigAttributes() {
          return null;
        }
    
        public boolean supports(Class<?> clazz) {
          return FilterInvocation.class.isAssignableFrom(clazz);
        }
      }

有关详细信息，请查看 的代码。`DefaultFilterInvocationSecurityMetadataSource`

[_spring.io]: https://docs.spring.io/spring-security/site/faq/faq.html#faq-dynamic-url-metadata
[1]: https://docs.spring.io/spring-security/site/faq/faq.html#ftn.d0e674