[[413457]]

 Spring Security 中對于權(quán)限控制默認(rèn)已經(jīng)提供了很多了，但是，一個優(yōu)秀的框架必須具備良好的擴展性，恰好，Spring Security 的擴展性就非常棒，我們既可以使用 Spring Security 提供的方式做授權(quán)，也可以自定義授權(quán)邏輯。一句話，你想怎么玩都可以!

今天松哥來和大家介紹一下 Spring Security 中四種常見的權(quán)限控制方式。

• 表達式控制 URL 路徑權(quán)限
• 表達式控制方法權(quán)限
• 使用過濾注解
• 動態(tài)權(quán)限

四種方式，我們分別來看。

1.表達式控制 URL 路徑權(quán)限

首先我們來看第一種，就是通過表達式控制 URL 路徑權(quán)限，這種方式松哥在之前的文章中實際上和大家講過，這里我們再來稍微復(fù)習(xí)一下。

Spring Security 支持在 URL 和方法權(quán)限控制時使用 SpEL 表達式，如果表達式返回值為 true 則表示需要對應(yīng)的權(quán)限，否則表示不需要對應(yīng)的權(quán)限。提供表達式的類是 SecurityExpressionRoot：

可以看到，SecurityExpressionRoot 有兩個實現(xiàn)類，表示在應(yīng)對 URL 權(quán)限控制和應(yīng)對方法權(quán)限控制時，分別對 SpEL 所做的拓展，例如在基于 URL 路徑做權(quán)限控制時，增加了 hasIpAddress 選項。

我們來看下 SecurityExpressionRoot 類中定義的最基本的 SpEL 有哪些：

可以看到，這些都是該類對應(yīng)的表達式，這些表達式我來給大家稍微解釋下：

這是最基本的，在它的繼承類中，還有做一些拓展，我這個我就不重復(fù)介紹了。

如果是通過 URL 進行權(quán)限控制，那么我們只需要按照如下方式配置即可：

protected void configure(HttpSecurity http) throws Exception { 
    http.authorizeRequests() 
            .antMatchers("/admin/**").hasRole("admin") 
            .antMatchers("/user/**").hasAnyRole("admin", "user") 
            .anyRequest().authenticated() 
            .and() 
            ... 
} 

這里表示訪問 /admin/** 格式的路徑需要 admin 角色，訪問 /user/** 格式的路徑需要 admin 或者 user 角色。

2.表達式控制方法權(quán)限

當(dāng)然，我們也可以通過在方法上添加注解來控制權(quán)限。

在方法上添加注解控制權(quán)限，需要我們首先開啟注解的使用，在 Spring Security 配置類上添加如下內(nèi)容：

@Configuration 
@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true) 
public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    ... 
    ... 
} 

這個配置開啟了三個注解，分別是：

• @PreAuthorize：方法執(zhí)行前進行權(quán)限檢查
• @PostAuthorize：方法執(zhí)行后進行權(quán)限檢查
• @Secured：類似于 @PreAuthorize

這三個結(jié)合 SpEL 之后，用法非常靈活，這里和大家稍微分享幾個 Demo。

@Service 
public class HelloService { 
    @PreAuthorize("principal.username.equals('javaboy')") 
    public String hello() { 
        return "hello"; 
    } 
 
    @PreAuthorize("hasRole('admin')") 
    public String admin() { 
        return "admin"; 
    } 
 
    @Secured({"ROLE_user"}) 
    public String user() { 
        return "user"; 
    } 
 
    @PreAuthorize("#age>98") 
    public String getAge(Integer age) { 
        return String.valueOf(age); 
    } 
} 

1. 第一個 hello 方法，注解的約束是，只有當(dāng)前登錄用戶名為 javaboy 的用戶才可以訪問該方法。
2. 第二個 admin 方法，表示訪問該方法的用戶必須具備 admin 角色。
3. 第三個 user 方法，表示方法該方法的用戶必須具備 user 角色，但是注意 user 角色需要加上 ROLE_ 前綴。
4. 第四個 getAge 方法，表示訪問該方法的 age 參數(shù)必須大于 98，否則請求不予通過。

可以看到，這里的表達式還是非常豐富，如果想引用方法的參數(shù)，前面加上一個 # 即可，既可以引用基本類型的參數(shù)，也可以引用對象參數(shù)。

缺省對象除了 principal ，還有 authentication(參考第一小節(jié))。

3.使用過濾注解

Spring Security 中還有兩個過濾函數(shù) @PreFilter 和 @PostFilter，可以根據(jù)給出的條件，自動移除集合中的元素。

@PostFilter("filterObject.lastIndexOf('2')!=-1") 
public List<String> getAllUser() { 
    List<String> users = new ArrayList<>(); 
    for (int i = 0; i < 10; i++) { 
        users.add("javaboy:" + i); 
    } 
    return users; 
} 
@PreFilter(filterTarget = "ages",value = "filterObject%2==0") 
public void getAllAge(List<Integer> ages,List<String> users) { 
    System.out.println("ages = " + ages); 
    System.out.println("users = " + users); 
} 

在 getAllUser 方法中，對集合進行過濾，只返回后綴為 2 的元素，filterObject 表示要過濾的元素對象。

在 getAllAge 方法中，由于有兩個集合，因此使用 filterTarget 指定過濾對象。

4.動態(tài)權(quán)限

動態(tài)權(quán)限主要通過重寫攔截器和決策器來實現(xiàn)，這個我在 vhr 的文檔中有過詳細介紹。

5.小結(jié)

好啦，今天就喝小伙伴們稍微聊了一下 Spring Security 中的授權(quán)問題，當(dāng)然這里還有很多細節(jié)，后面松哥再和大家一一細聊。

本文轉(zhuǎn)載自微信公眾號「江南一點雨」，可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系江南一點雨公眾號。