Spring Security 中對(duì)于權(quán)限控制默認(rèn)已經(jīng)提供了很多了，但是，一個(gè)優(yōu)秀的框架必須具備良好的擴(kuò)展性，恰好，Spring Security 的擴(kuò)展性就非常棒，我們既可以使用 Spring Security 提供的方式做授權(quán)，也可以自定義授權(quán)邏輯。一句話(huà)，你想怎么玩都可以！

今天松哥來(lái)和大家介紹一下 Spring Security 中四種常見(jiàn)的權(quán)限控制方式。

表達(dá)式控制 URL 路徑權(quán)限 表達(dá)式控制方法權(quán)限 使用過(guò)濾注解 動(dòng)態(tài)權(quán)限

四種方式，我們分別來(lái)看。

1.表達(dá)式控制 URL 路徑權(quán)限

首先我們來(lái)看第一種，就是通過(guò)表達(dá)式控制 URL 路徑權(quán)限，這種方式松哥在之前的文章中實(shí)際上和大家講過(guò)，這里我們?cè)賮?lái)稍微復(fù)習(xí)一下。

Spring Security 支持在 URL 和方法權(quán)限控制時(shí)使用 SpEL 表達(dá)式，如果表達(dá)式返回值為 true 則表示需要對(duì)應(yīng)的權(quán)限，否則表示不需要對(duì)應(yīng)的權(quán)限。提供表達(dá)式的類(lèi)是 SecurityExpressionRoot：

可以看到，SecurityExpressionRoot 有兩個(gè)實(shí)現(xiàn)類(lèi)，表示在應(yīng)對(duì) URL 權(quán)限控制和應(yīng)對(duì)方法權(quán)限控制時(shí)，分別對(duì) SpEL 所做的拓展，例如在基于 URL 路徑做權(quán)限控制時(shí)，增加了 hasIpAddress 選項(xiàng)。

我們來(lái)看下 SecurityExpressionRoot 類(lèi)中定義的最基本的 SpEL 有哪些：

可以看到，這些都是該類(lèi)對(duì)應(yīng)的表達(dá)式，這些表達(dá)式我來(lái)給大家稍微解釋下：

表達(dá)式 備注 hasRole 用戶(hù)具備某個(gè)角色即可訪(fǎng)問(wèn)資源 hasAnyRole 用戶(hù)具備多個(gè)角色中的任意一個(gè)即可訪(fǎng)問(wèn)資源 hasAuthority 類(lèi)似于 hasRole hasAnyAuthority 類(lèi)似于 hasAnyRole permitAll 統(tǒng)統(tǒng)允許訪(fǎng)問(wèn) denyAll 統(tǒng)統(tǒng)拒絕訪(fǎng)問(wèn) isAnonymous 判斷是否匿名用戶(hù) isAuthenticated 判斷是否認(rèn)證成功 isRememberMe 判斷是否通過(guò)記住我登錄的 isFullyAuthenticated 判斷是否用戶(hù)名/密碼登錄的 principle 當(dāng)前用戶(hù) authentication 從 SecurityContext 中提取出來(lái)的用戶(hù)對(duì)象

這是最基本的，在它的繼承類(lèi)中，還有做一些拓展，我這個(gè)我就不重復(fù)介紹了。

如果是通過(guò) URL 進(jìn)行權(quán)限控制，那么我們只需要按照如下方式配置即可：

protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers('/admin/**').hasRole('admin') .antMatchers('/user/**').hasAnyRole('admin', 'user') .anyRequest().authenticated() .and() ...}

這里表示訪(fǎng)問(wèn) /admin/** 格式的路徑需要 admin 角色，訪(fǎng)問(wèn) /user/** 格式的路徑需要 admin 或者 user 角色。

2.表達(dá)式控制方法權(quán)限

當(dāng)然，我們也可以通過(guò)在方法上添加注解來(lái)控制權(quán)限。

在方法上添加注解控制權(quán)限，需要我們首先開(kāi)啟注解的使用，在 Spring Security 配置類(lèi)上添加如下內(nèi)容：

@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)public class SecurityConfig extends WebSecurityConfigurerAdapter { ... ...}

這個(gè)配置開(kāi)啟了三個(gè)注解，分別是：

@PreAuthorize：方法執(zhí)行前進(jìn)行權(quán)限檢查 @PostAuthorize：方法執(zhí)行后進(jìn)行權(quán)限檢查 @Secured：類(lèi)似于 @PreAuthorize

這三個(gè)結(jié)合 SpEL 之后，用法非常靈活，這里和大家稍微分享幾個(gè) Demo。

@Servicepublic class HelloService { @PreAuthorize('principal.username.equals(’javaboy’)') public String hello() { return 'hello'; } @PreAuthorize('hasRole(’admin’)') public String admin() { return 'admin'; } @Secured({'ROLE_user'}) public String user() { return 'user'; } @PreAuthorize('#age>98') public String getAge(Integer age) { return String.valueOf(age); }} 第一個(gè) hello 方法，注解的約束是，只有當(dāng)前登錄用戶(hù)名為 javaboy 的用戶(hù)才可以訪(fǎng)問(wèn)該方法。 第二個(gè) admin 方法，表示訪(fǎng)問(wèn)該方法的用戶(hù)必須具備 admin 角色。 第三個(gè) user 方法，表示方法該方法的用戶(hù)必須具備 user 角色，但是注意 user 角色需要加上 ROLE_ 前綴。第四個(gè) getAge 方法，表示訪(fǎng)問(wèn)該方法的 age 參數(shù)必須大于 98，否則請(qǐng)求不予通過(guò)。

可以看到，這里的表達(dá)式還是非常豐富，如果想引用方法的參數(shù)，前面加上一個(gè) # 即可，既可以引用基本類(lèi)型的參數(shù)，也可以引用對(duì)象參數(shù)。

缺省對(duì)象除了 principal ，還有 authentication（參考第一小節(jié)）。

3.使用過(guò)濾注解

Spring Security 中還有兩個(gè)過(guò)濾函數(shù) @PreFilter 和 @PostFilter，可以根據(jù)給出的條件，自動(dòng)移除集合中的元素。

@PostFilter('filterObject.lastIndexOf(’2’)!=-1')public List<String> getAllUser() { List<String> users = new ArrayList<>(); for (int i = 0; i < 10; i++) { users.add('javaboy:' + i); } return users;}@PreFilter(filterTarget = 'ages',value = 'filterObject%2==0')public void getAllAge(List<Integer> ages,List<String> users) { System.out.println('ages = ' + ages); System.out.println('users = ' + users);} 在 getAllUser 方法中，對(duì)集合進(jìn)行過(guò)濾，只返回后綴為 2 的元素，filterObject 表示要過(guò)濾的元素對(duì)象。 在 getAllAge 方法中，由于有兩個(gè)集合，因此使用 filterTarget 指定過(guò)濾對(duì)象。

4.動(dòng)態(tài)權(quán)限

動(dòng)態(tài)權(quán)限主要通過(guò)重寫(xiě)攔截器和決策器來(lái)實(shí)現(xiàn)，這個(gè)我在 vhr 的文檔中有過(guò)詳細(xì)介紹，大家在公眾號(hào)【江南一點(diǎn)雨】后臺(tái)回復(fù) 888 可以獲取文檔，我就不再贅述了。

5.小結(jié)

好啦，今天就喝小伙伴們稍微聊了一下 Spring Security 中的授權(quán)問(wèn)題，當(dāng)然這里還有很多細(xì)節(jié)，后面松哥再和大家一一細(xì)聊。

到此這篇關(guān)于詳解Spring Security 中的四種權(quán)限控制方式的文章就介紹到這了,更多相關(guān)Spring Security 權(quán)限控制內(nèi)容請(qǐng)搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！