第 35 章 Voter表决者

35.1. Voter表决者

实际上并没有翻译的字面含义那么有血有肉,实际上就是一些条件,判断权限的时候,这些条件有三个状态。弃权,通过,禁止。最后通过你在xml里配置的策略来决定到底是不是让你访问这个需要验证的对象。

Spring Security提供的策略有三个

  • UnanimousBased.java 只要有一个Voter不能完全通过权限要求,就禁止访问。这个太可怕了,我今天晚上就载在它上面了。就因为我给所有的资源设置了两个角色,但当前的用户只拥有其中一个角色,就导致这个用户因为权限不够,所以无法继续访问资源了。简直无法理喻啊。

  • AffirmativeBased.java只要有一个Voter可以通过权限要求,就可以访问。这里应该是一个最小通过,就是说至少满足里其中一个条件就可以通过了。

  • ConsensusBased.java只要通过的Voter比禁止的Voter数目多就可以访问了。嘿嘿。

最后我当然选择AffirmativeBased.java,这样,我给一个资源配置几个角色,用户只要满足其中一个角色就可以访问啦。这样更正常一些啊。

默认提供的Voter继承关系如下。

AccessDecisionVoter
  AbstractAclVoter
    AclEntryVoter(acls)
  RoleVoter
    RoleHierarchyVoter
  AuthenticatedVoter
  Jsr250Voter
  WebExpressionVoter
  PreInvocationAuthorizationAdviceVoter
        

35.2. RoleVoter

默认角色名称都是以ROLE_开头

稍微注意一下,默认角色名称都要以ROLE_开头,否则不会被计入权限控制,如果需要修改,就在xml里配个什么前缀的。可以用过配置roleVoter的rolePrefix来改变这个前缀。

<bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
    <property name="rolePrefix" value="AUTH_"/>
</bean>
        

35.3. AuthenticatedVoter

AuthenticatedVoter用于判断ConfigAttribute上是否拥有IS_AUTHENTICATED_FULLY,IS_AUTHENTICATED_REMEMBERED或IS_AUTHENTICATED_ANONYMOUSLY之类的配置。

如果配置为IS_AUTHENTICATED_FULLY,那么只有AuthenticationTrustResolver的isAnonymous()和isRememberMe()都返回false时才能通过验证。

如果配置为IS_AUTHENTICATED_REMEMBERED,那么会在AuthenticationTrustResolver的isAnonymous()返回false时通过验证。

如果配置为IS_AUTHENTICATED_ANONYMOUSLY,就可以在AuthenticationTrustResolver的isAnonymous()和isRememberMe()两个方法返回任意值时都可以通过验证。

35.4. AbstractAclVoter

BasicAclEntryVoter, LabelBasedAclVoter, AclEntryVoter用来在处理ACL中的权限控制。在Spring Security中的ACL 都是基于特定POJO类的,每个AclVoter都会分配给一个特定的POJO类,并用来专门控制方法中对这个POJO类操作的权限。实际上所有AclVoter都是用于处理方法调用的,它会检测方法调用时传递的每个参数,当某个参数的类型与AclVoter对应的POJO类一致时,就会采用配置好的元数据进行权限校验。