文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

聊聊我们为什么要设计匿名用户

2024-12-02 08:31

关注

流程一致性

通常情况下所有的资源访问都应该是有条件的。用来验证这些条件的流程也应该是一致的。我们来看实际生活中的一个例子,老王是一家公司的老板,他的车进地下车库是免费的,其他人进地下车库是计费的。我们来思考如何实现这个需求。

如果流程不一致的话,需要两条道,一条是VIP通道(让老王走),一条是大众通道(给其他人用),这两个通道的维护成本会很高,还有人会经常走错道,甚至招致不满,凭啥他要搞特权;如果流程一致,这事就好办多了,不管是谁都得按同一个通道流程进入停车场,只需要维护一个VIP标签就行了,成本大大降低,流程也简化了,还显得老王没有架子。这个VIP标签就是所谓的“匿名用户”。

Spring Security匿名用户

Spring Security中专门设计了匿名用户,它的作用其实也是为了在保证流程一致的前提下去执行一些特殊的认证逻辑,比如程序的登录、主页的数据接口,这些未认证的用户场景需要绕过访问控制检查,通过引入一个特殊的“匿名身份”可以做到这一点,匿名用户可以做什么、不可以做什么都可以轻松定义, 这就是我们所说的匿名身份验证。

请注意:“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的差异,你可以认为匿名用户就是未认证用户,你也可以认为匿名用户是执行了匿名认证流程后的认证用户。

匿名用户的配置

匿名用户是认证体系最后的一道认证流程,负责匿名认证的过滤器是AnonymousAuthenticationFilter,当发现请求不具备任何其它认证条件后,会生成一个AnonymousAuthenticationToken,它包含三个属性:

keyHash 仅仅在AnonymousAuthenticationFilter和AnonymousAuthenticationProvider之间共享, 以避免一些恶意客户端去伪造AnonymousAuthenticationToken。

权限控制只需要针对ROLE_ANONYMOUS进行限制即可,也可以通过认证投票器AuthenticatedVoter的IS_AUTHENTICATED_ANONYMOUSLY属性来限制。

下面这几种配置都可以用来控制匿名用户的访问权限:

http
.authorizeRequests()
.mvcMatchers("/anonymous0").access("hasAuthority('ROLE_USER')")
.mvcMatchers("/anonymous1").hasAuthority("ROLE_ANONYMOUS")
.mvcMatchers("/anonymous2").hasRole("ANONYMOUS")
.mvcMatchers("/anonymous3").access("isAnonymous()")
.mvcMatchers("/anonymous4").access("IS_AUTHENTICATED_ANONYMOUSLY")
.mvcMatchers("/anonymous5").anonymous()

获取匿名用户

Spring MVC中使用它自己的参数解析器来获取当前Principal:

@GetMapping("/")
public String method(Authentication authentication) {
if (authentication instanceof AnonymousAuthenticationToken) {
return "anonymous";
} else {
return "not anonymous";
}
}

以上方式将永远返回not anonymous,即使是匿名请求。如果您想获取匿名请求的Authentication,请改用@CurrentSecurityContext:

@GetMapping("/")
public String method(@CurrentSecurityContext SecurityContext context) {
Authentication authentication = context.getAuthentication()
if (authentication instanceof AnonymousAuthenticationToken) {
return "anonymous";
} else {
return "not anonymous";
}
}

你想一想还有没有其它方式去获得匿名用户?



来源:码农小胖哥内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯