快捷導(dǎo)航

如何基于SpringSecurity的@PreAuthorize實(shí)現(xiàn)自定義權(quán)限校驗(yàn)方法

更新時(shí)間：2023年03月31日 11:02:36 作者：掉發(fā)的小王

spring Security提供有若干個(gè)過(guò)濾器,它們能夠攔截Servlet請(qǐng)求,并將這些請(qǐng)求轉(zhuǎn)給認(rèn)證和訪(fǎng)問(wèn)決策管理器處理,從而增強(qiáng)安全性,下面這篇文章主要給大家介紹了關(guān)于如何基于SpringSecurity的@PreAuthorize實(shí)現(xiàn)自定義權(quán)限校驗(yàn)方法的相關(guān)資料,需要的朋友可以參考下

一、前言

在我們一般的web系統(tǒng)中必不可少的就是權(quán)限的配置，也有經(jīng)典的RBAC權(quán)限模型，是基于角色的權(quán)限控制。這是目前最常被開(kāi)發(fā)者使用也是相對(duì)易用、通用權(quán)限模型。當(dāng)然SpringSecurity已經(jīng)實(shí)現(xiàn)了權(quán)限的校驗(yàn)，但是不夠靈活，我們可以自己寫(xiě)一下校驗(yàn)條件，從而更加的靈活！

很多開(kāi)源框架中也是用的比較多，小編看了一下若依是自己寫(xiě)了一個(gè)注解實(shí)現(xiàn)的，pig是使用@PreAuthorize來(lái)實(shí)現(xiàn)自己的校驗(yàn)方式，小編以pig框架的為例。

二、SpringSecurity的@PreAuthorize

@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
    return "hello";
}

我們進(jìn)去源碼方法中看看具體實(shí)現(xiàn)，我們進(jìn)行模仿！

// 調(diào)用的方法
@Override
public final boolean hasAuthority(String authority) {
	return hasAnyAuthority(authority);
}

@Override
public final boolean hasAnyAuthority(String... authorities) {
	return hasAnyAuthorityName(null, authorities);
}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
	Set<String> roleSet = getAuthoritySet();
	// 便利規(guī)則，看看是否有權(quán)限
	for (String role : roles) {
		String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
		if (roleSet.contains(defaultedRole)) {
			return true;
		}
	}
	return false;
}

三、權(quán)限校驗(yàn)判斷工具

@Component("pms")
public class PermissionService {

	/**
	 * 判斷接口是否有xxx:xxx權(quán)限
	 * @param permission 權(quán)限
	 * @return {boolean}
	 */
	public boolean hasPermission(String permission) {
		if (StrUtil.isBlank(permission)) {
			return false;
		}
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null) {
			return false;
		}
		Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
		return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
				.anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
	}

}

四、controller使用

@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
    return R.ok(orderInService.queryPage(page, request));
}

參數(shù)說(shuō)明：

主要是采用SpEL表達(dá)式語(yǔ)法，

@pms：是一個(gè)我們自己配置的spring容器起的別名，能夠正確的找到這個(gè)容器類(lèi)；

hasPermission('order_get')：容器內(nèi)方法名稱(chēng)和參數(shù)

五、總結(jié)

這樣就完成了自定義校驗(yàn)，具體的校驗(yàn)可以自己在配置里進(jìn)行修改，當(dāng)然也可以自己寫(xiě)一個(gè)注解來(lái)進(jìn)行自定義校驗(yàn)，可以參考若依的注解！

到此這篇關(guān)于如何基于SpringSecurity的@PreAuthorize實(shí)現(xiàn)自定義權(quán)限校驗(yàn)方法的文章就介紹到這了,更多相關(guān)SpringSecurity自定義權(quán)限校驗(yàn)方法內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: