詳解Spring Security 中的四種許可權控制方式
Spring Security 中對於許可權控制預設已經提供了很多了,但是,一個優秀的框架必須具備良好的擴充套件性,恰好,Spring Security 的擴充套件性就非常棒,我們既可以使用 Spring Security 提供的方式做授權,也可以自定義授權邏輯。一句話,你想怎麼玩都可以!
今天鬆哥來和大家介紹一下 Spring Security 中四種常見的許可權控制方式。
- 表示式控制 URL 路徑許可權
- 表示式控制方法許可權
- 使用過濾註解
- 動態許可權
四種方式,我們分別來看。
1.表示式控制 URL 路徑許可權
首先我們來看第一種,就是通過表示式控制 URL 路徑許可權,這種方式鬆哥在之前的文章中實際上和大家講過,這裡我們再來稍微複習一下。
Spring Security 支援在 URL 和方法許可權控制時使用 SpEL 表示式,如果表示式返回值為 true 則表示需要對應的許可權,否則表示不需要對應的許可權。提供表示式的類是 SecurityExpressionRoot:
可以看到,SecurityExpressionRoot 有兩個實現類,表示在應對 URL 許可權控制和應對方法許可權控制時,分別對 SpEL 所做的拓展,例如在基於 URL 路徑做許可權控制時,增加了 hasIpAddress 選項。
我們來看下 SecurityExpressionRoot 類中定義的最基本的 SpEL 有哪些:
可以看到,這些都是該類對應的表示式,這些表示式我來給大家稍微解釋下:
表示式 | 備註 |
---|---|
hasRole | 使用者具備某個角色即可訪問資源 |
hasAnyRole | 使用者具備多個角色中的任意一個即可訪問資源 |
hasAuthority | 類似於 hasRole |
hasAnyAuthority | 類似於 hasAnyRole |
permitAll | 統統允許訪問 |
denyAll | 統統拒絕訪問 |
isAnonymous | 判斷是否匿名使用者 |
isAuthenticated | 判斷是否認證成功 |
isRememberMe | 判斷是否通過記住我登入的 |
isFullyAuthenticated | 判斷是否使用者名稱/密碼登入的 |
principle | 當前使用者 |
authentication | 從 SecurityContext 中提取出來的使用者物件 |
這是最基本的,在它的繼承類中,還有做一些拓展,我這個我就不重複介紹了。
如果是通過 URL 進行許可權控制,那麼我們只需要按照如下方式配置即可:
protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("admin") .antMatchers("/user/**").hasAnyRole("admin","user") .anyRequest().authenticated() .and() ... }
這裡表示訪問 /admin/**
格式的路徑需要 admin 角色,訪問 /user/**
格式的路徑需要 admin 或者 user 角色。
2.表示式控制方法許可權
當然,我們也可以通過在方法上添加註解來控制權限。
在方法上添加註解控制權限,需要我們首先開啟註解的使用,在 Spring Security 配置類上新增如下內容:
@Configuration @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter { ... ... }
這個配置開啟了三個註解,分別是:
- @PreAuthorize:方法執行前進行許可權檢查
- @PostAuthorize:方法執行後進行許可權檢查
- @Secured:類似於 @PreAuthorize
這三個結合 SpEL 之後,用法非常靈活,這裡和大家稍微分享幾個 Demo。
@Service public class HelloService { @PreAuthorize("principal.username.equals('javaboy')") public String hello() { return "hello"; } @PreAuthorize("hasRole('admin')") public String admin() { return "admin"; } @Secured({"ROLE_user"}) public String user() { return "user"; } @PreAuthorize("#age>98") public String getAge(Integer age) { return String.valueOf(age); } }
- 第一個 hello 方法,註解的約束是,只有當前登入使用者名稱為 javaboy 的使用者才可以訪問該方法。
- 第二個 admin 方法,表示訪問該方法的使用者必須具備 admin 角色。
- 第三個 user 方法,表示方法該方法的使用者必須具備 user 角色,但是注意 user 角色需要加上
ROLE_
字首。第四個 getAge 方法,表示訪問該方法的 age 引數必須大於 98,否則請求不予通過。
可以看到,這裡的表示式還是非常豐富,如果想引用方法的引數,前面加上一個 #
即可,既可以引用基本型別的引數,也可以引用物件引數。
預設物件除了 principal ,還有 authentication(參考第一小節)。
3.使用過濾註解
Spring Security 中還有兩個過濾函式 @PreFilter 和 @PostFilter,可以根據給出的條件,自動移除集合中的元素。
@PostFilter("filterObject.lastIndexOf('2')!=-1") public List<String> getAllUser() { List<String> users = new ArrayList<>(); for (int i = 0; i < 10; i++) { users.add("javaboy:" + i); } return users; } @PreFilter(filterTarget = "ages",value = "filterObject%2==0") public void getAllAge(List<Integer> ages,List<String> users) { System.out.println("ages = " + ages); System.out.println("users = " + users); }
- 在 getAllUser 方法中,對集合進行過濾,只返回字尾為 2 的元素,filterObject 表示要過濾的元素物件。
- 在 getAllAge 方法中,由於有兩個集合,因此使用 filterTarget 指定過濾物件。
4.動態許可權
動態許可權主要通過重寫攔截器和決策器來實現,這個我在 vhr 的文件中有過詳細介紹,大家在公眾號【江南一點雨】後臺回覆 888 可以獲取文件,我就不再贅述了。
5.小結
好啦,今天就喝小夥伴們稍微聊了一下 Spring Security 中的授權問題,當然這裡還有很多細節,後面鬆哥再和大家一一細聊。
到此這篇關於詳解Spring Security 中的四種許可權控制方式的文章就介紹到這了,更多相關Spring Security 許可權控制內容請搜尋我們以前的文章或繼續瀏覽下面的相關文章希望大家以後多多支援我們!