Spring Security 中對于權限控制默認已經提供了很多了�,但是��,一個優(yōu)秀的框架必須具備良好的擴展性�����,恰好,Spring Security 的擴展性就非常棒���,我們既可以使用 Spring Security 提供的方式做授權����,也可以自定義授權邏輯���。一句話����,你想怎么玩都可以!
今天松哥來和大家介紹一下 Spring Security 中四種常見的權限控制方式�����。
- 表達式控制 URL 路徑權限
- 表達式控制方法權限
- 使用過濾注解
- 動態(tài)權限
四種方式����,我們分別來看�����。
1.表達式控制 URL 路徑權限
首先我們來看第一種,就是通過表達式控制 URL 路徑權限�,這種方式松哥在之前的文章中實際上和大家講過,這里我們再來稍微復習一下����。
Spring Security 支持在 URL 和方法權限控制時使用 SpEL 表達式,如果表達式返回值為 true 則表示需要對應的權限�����,否則表示不需要對應的權限���。提供表達式的類是 SecurityExpressionRoot:
可以看到�����,SecurityExpressionRoot 有兩個實現(xiàn)類�,表示在應對 URL 權限控制和應對方法權限控制時�,分別對 SpEL 所做的拓展,例如在基于 URL 路徑做權限控制時��,增加了 hasIpAddress 選項。
我們來看下 SecurityExpressionRoot 類中定義的最基本的 SpEL 有哪些:
可以看到�,這些都是該類對應的表達式,這些表達式我來給大家稍微解釋下:
| 表達式 |
備注 |
|---|
| hasRole | 用戶具備某個角色即可訪問資源 |
| hasAnyRole | 用戶具備多個角色中的任意一個即可訪問資源 |
| hasAuthority | 類似于 hasRole |
| hasAnyAuthority | 類似于 hasAnyRole |
| permitAll | 統(tǒng)統(tǒng)允許訪問 |
| denyAll | 統(tǒng)統(tǒng)拒絕訪問 |
| isAnonymous | 判斷是否匿名用戶 |
| isAuthenticated | 判斷是否認證成功 |
| isRememberMe | 判斷是否通過記住我登錄的 |
| isFullyAuthenticated | 判斷是否用戶名/密碼登錄的 |
| principle | 當前用戶 |
| authentication | 從 SecurityContext 中提取出來的用戶對象 |
這是最基本的��,在它的繼承類中�����,還有做一些拓展����,我這個我就不重復介紹了。
如果是通過 URL 進行權限控制�����,那么我們只需要按照如下方式配置即可:
- protected void configure(HttpSecurity http) throws Exception {
- http.authorizeRequests()
- .antMatchers("/admin/**").hasRole("admin")
- .antMatchers("/user/**").hasAnyRole("admin", "user")
- .anyRequest().authenticated()
- .and()
- ...
- }
這里表示訪問 /admin/** 格式的路徑需要 admin 角色�����,訪問 /user/** 格式的路徑需要 admin 或者 user 角色�。
2.表達式控制方法權限
當然,我們也可以通過在方法上添加注解來控制權限�����。
在方法上添加注解控制權限,需要我們首先開啟注解的使用�����,在 Spring Security 配置類上添加如下內容:
- @Configuration
- @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
- public class SecurityConfig extends WebSecurityConfigurerAdapter {
- ...
- ...
- }
這個配置開啟了三個注解�����,分別是:
- @PreAuthorize:方法執(zhí)行前進行權限檢查
- @PostAuthorize:方法執(zhí)行后進行權限檢查
- @Secured:類似于 @PreAuthorize
這三個結合 SpEL 之后��,用法非常靈活�����,這里和大家稍微分享幾個 Demo����。
- @Service
- public class HelloService {
- @PreAuthorize("principal.username.equals('javaboy')")
- public String hello() {
- return "hello";
- }
-
- @PreAuthorize("hasRole('admin')")
- public String admin() {
- return "admin";
- }
-
- @Secured({"ROLE_user"})
- public String user() {
- return "user";
- }
-
- @PreAuthorize("#age>98")
- public String getAge(Integer age) {
- return String.valueOf(age);
- }
- }
- 第一個 hello 方法��,注解的約束是��,只有當前登錄用戶名為 javaboy 的用戶才可以訪問該方法��。
- 第二個 admin 方法�����,表示訪問該方法的用戶必須具備 admin 角色。
- 第三個 user 方法�����,表示方法該方法的用戶必須具備 user 角色�����,但是注意 user 角色需要加上 ROLE_ 前綴���。
- 第四個 getAge 方法���,表示訪問該方法的 age 參數(shù)必須大于 98,否則請求不予通過���。
可以看到���,這里的表達式還是非常豐富,如果想引用方法的參數(shù)��,前面加上一個 # 即可�����,既可以引用基本類型的參數(shù),也可以引用對象參數(shù)�。
缺省對象除了 principal ,還有 authentication(參考第一小節(jié))��。
3.使用過濾注解
Spring Security 中還有兩個過濾函數(shù) @PreFilter 和 @PostFilter�����,可以根據(jù)給出的條件����,自動移除集合中的元素��。
- @PostFilter("filterObject.lastIndexOf('2')!=-1")
- public List getAllUser() {
- List users = new ArrayList<>();
- for (int i = 0; i < 10; i++) {
- users.add("javaboy:" + i);
- }
- return users;
- }
- @PreFilter(filterTarget = "ages",value = "filterObject%2==0")
- public void getAllAge(List ages,List users) {
- System.out.println("ages = " + ages);
- System.out.println("users = " + users);
- }
在 getAllUser 方法中��,對集合進行過濾��,只返回后綴為 2 的元素���,filterObject 表示要過濾的元素對象���。
在 getAllAge 方法中���,由于有兩個集合,因此使用 filterTarget 指定過濾對象����。
4.動態(tài)權限
動態(tài)權限主要通過重寫攔截器和決策器來實現(xiàn),這個我在 vhr 的文檔中有過詳細介紹�。
5.小結
好啦,今天就喝小伙伴們稍微聊了一下 Spring Security 中的授權問題�����,當然這里還有很多細節(jié)�,后面松哥再和大家一一細聊。
本文轉載自微信公眾號「江南一點雨」����,可以通過以下二維碼關注。轉載本文請聯(lián)系江南一點雨公眾號���。
文章題目:SpringSecurity中的四種權限控制方式
網址分享:http://uogjgqi.cn/article/djgsdgd.html
