如何基于SpringSecurity的@PreAuthorize實現(xiàn)自定義權限校驗方法

更新時間：2023年03月31日 11:02:36 作者：掉發(fā)的小王

spring Security提供有若干個過濾器,它們能夠攔截Servlet請求,并將這些請求轉給認證和訪問決策管理器處理,從而增強安全性,下面這篇文章主要給大家介紹了關于如何基于SpringSecurity的@PreAuthorize實現(xiàn)自定義權限校驗方法的相關資料,需要的朋友可以參考下

一、前言

在我們一般的web系統(tǒng)中必不可少的就是權限的配置，也有經典的RBAC權限模型，是基于角色的權限控制。這是目前最常被開發(fā)者使用也是相對易用、通用權限模型。當然SpringSecurity已經實現(xiàn)了權限的校驗，但是不夠靈活，我們可以自己寫一下校驗條件，從而更加的靈活！

很多開源框架中也是用的比較多，小編看了一下若依是自己寫了一個注解實現(xiàn)的，pig是使用@PreAuthorize來實現(xiàn)自己的校驗方式，小編以pig框架的為例。

二、SpringSecurity的@PreAuthorize

@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
    return "hello";
}

我們進去源碼方法中看看具體實現(xiàn)，我們進行模仿！

// 調用的方法
@Override
public final boolean hasAuthority(String authority) {
	return hasAnyAuthority(authority);
}

@Override
public final boolean hasAnyAuthority(String... authorities) {
	return hasAnyAuthorityName(null, authorities);
}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
	Set<String> roleSet = getAuthoritySet();
	// 便利規(guī)則，看看是否有權限
	for (String role : roles) {
		String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
		if (roleSet.contains(defaultedRole)) {
			return true;
		}
	}
	return false;
}

三、權限校驗判斷工具

@Component("pms")
public class PermissionService {

	/**
	 * 判斷接口是否有xxx:xxx權限
	 * @param permission 權限
	 * @return {boolean}
	 */
	public boolean hasPermission(String permission) {
		if (StrUtil.isBlank(permission)) {
			return false;
		}
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null) {
			return false;
		}
		Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
		return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
				.anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
	}

}

四、controller使用

@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
    return R.ok(orderInService.queryPage(page, request));
}

參數(shù)說明：

主要是采用SpEL表達式語法，

@pms：是一個我們自己配置的spring容器起的別名，能夠正確的找到這個容器類；

hasPermission('order_get')：容器內方法名稱和參數(shù)