文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

Spring Security 中的四种权限控制方式

2024-12-03 00:55

关注

 Spring Security 中对于权限控制默认已经提供了很多了,但是,一个优秀的框架必须具备良好的扩展性,恰好,Spring Security 的扩展性就非常棒,我们既可以使用 Spring Security 提供的方式做授权,也可以自定义授权逻辑。一句话,你想怎么玩都可以!

今天松哥来和大家介绍一下 Spring Security 中四种常见的权限控制方式。

四种方式,我们分别来看。

1.表达式控制 URL 路径权限

首先我们来看第一种,就是通过表达式控制 URL 路径权限,这种方式松哥在之前的文章中实际上和大家讲过,这里我们再来稍微复习一下。

Spring Security 支持在 URL 和方法权限控制时使用 SpEL 表达式,如果表达式返回值为 true 则表示需要对应的权限,否则表示不需要对应的权限。提供表达式的类是 SecurityExpressionRoot:

可以看到,SecurityExpressionRoot 有两个实现类,表示在应对 URL 权限控制和应对方法权限控制时,分别对 SpEL 所做的拓展,例如在基于 URL 路径做权限控制时,增加了 hasIpAddress 选项。

我们来看下 SecurityExpressionRoot 类中定义的最基本的 SpEL 有哪些:

可以看到,这些都是该类对应的表达式,这些表达式我来给大家稍微解释下:

表达式 备注
hasRole 用户具备某个角色即可访问资源
hasAnyRole 用户具备多个角色中的任意一个即可访问资源
hasAuthority 类似于 hasRole
hasAnyAuthority 类似于 hasAnyRole
permitAll 统统允许访问
denyAll 统统拒绝访问
isAnonymous 判断是否匿名用户
isAuthenticated 判断是否认证成功
isRememberMe 判断是否通过记住我登录的
isFullyAuthenticated 判断是否用户名/密码登录的
principle 当前用户
authentication 从 SecurityContext 中提取出来的用户对象

这是最基本的,在它的继承类中,还有做一些拓展,我这个我就不重复介绍了。

如果是通过 URL 进行权限控制,那么我们只需要按照如下方式配置即可:

  1. protected void configure(HttpSecurity http) throws Exception { 
  2.     http.authorizeRequests() 
  3.             .antMatchers("/admin/**").hasRole("admin"
  4.             .antMatchers("/user/**").hasAnyRole("admin""user"
  5.             .anyRequest().authenticated() 
  6.             .and() 
  7.             ... 

这里表示访问 /admin/** 格式的路径需要 admin 角色,访问 /user/** 格式的路径需要 admin 或者 user 角色。

2.表达式控制方法权限

当然,我们也可以通过在方法上添加注解来控制权限。

在方法上添加注解控制权限,需要我们首先开启注解的使用,在 Spring Security 配置类上添加如下内容:

  1. @Configuration 
  2. @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true
  3. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
  4.     ... 
  5.     ... 

这个配置开启了三个注解,分别是:

这三个结合 SpEL 之后,用法非常灵活,这里和大家稍微分享几个 Demo。

  1. @Service 
  2. public class HelloService { 
  3.     @PreAuthorize("principal.username.equals('javaboy')"
  4.     public String hello() { 
  5.         return "hello"
  6.     } 
  7.  
  8.     @PreAuthorize("hasRole('admin')"
  9.     public String admin() { 
  10.         return "admin"
  11.     } 
  12.  
  13.     @Secured({"ROLE_user"}) 
  14.     public String user() { 
  15.         return "user"
  16.     } 
  17.  
  18.     @PreAuthorize("#age>98"
  19.     public String getAge(Integer age) { 
  20.         return String.valueOf(age); 
  21.     } 
  1. 第一个 hello 方法,注解的约束是,只有当前登录用户名为 javaboy 的用户才可以访问该方法。
  2. 第二个 admin 方法,表示访问该方法的用户必须具备 admin 角色。
  3. 第三个 user 方法,表示方法该方法的用户必须具备 user 角色,但是注意 user 角色需要加上 ROLE_ 前缀。
  4. 第四个 getAge 方法,表示访问该方法的 age 参数必须大于 98,否则请求不予通过。

可以看到,这里的表达式还是非常丰富,如果想引用方法的参数,前面加上一个 # 即可,既可以引用基本类型的参数,也可以引用对象参数。

缺省对象除了 principal ,还有 authentication(参考第一小节)。

3.使用过滤注解

Spring Security 中还有两个过滤函数 @PreFilter 和 @PostFilter,可以根据给出的条件,自动移除集合中的元素。

  1. @PostFilter("filterObject.lastIndexOf('2')!=-1"
  2. public List getAllUser() { 
  3.     List users = new ArrayList<>(); 
  4.     for (int i = 0; i < 10; i++) { 
  5.         users.add("javaboy:" + i); 
  6.     } 
  7.     return users; 
  8. @PreFilter(filterTarget = "ages",value = "filterObject%2==0"
  9. public void getAllAge(List<Integer> ages,List users) { 
  10.     System.out.println("ages = " + ages); 
  11.     System.out.println("users = " + users); 

在 getAllUser 方法中,对集合进行过滤,只返回后缀为 2 的元素,filterObject 表示要过滤的元素对象。

在 getAllAge 方法中,由于有两个集合,因此使用 filterTarget 指定过滤对象。

4.动态权限

动态权限主要通过重写拦截器和决策器来实现,这个我在 vhr 的文档中有过详细介绍。

5.小结

好啦,今天就喝小伙伴们稍微聊了一下 Spring Security 中的授权问题,当然这里还有很多细节,后面松哥再和大家一一细聊。

本文转载自微信公众号「江南一点雨」,可以通过以下二维码关注。转载本文请联系江南一点雨公众号。

 

来源:江南一点雨内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯