欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

Spring?Security方法級安全控制@PreAuthorize注解的靈活運用小結

 更新時間:2025年04月08日 15:18:24   作者:Micro麥可樂  
本文將帶著大家講解?@PreAuthorize?注解的核心原理、SpEL?表達式機制,并通過的示例代碼演示如何在實際項目中靈活運用該注解實現(xiàn)細粒度的權限控制,感興趣的朋友一起看看吧

1. 前言

在實際項目中,安全控制不僅體現(xiàn)在 URL 攔截層面,方法級安全控制也越來越受到重視。Spring Security 提供了多種方式實現(xiàn)方法級安全,Spring Security 通過方法注解體系,這種細粒度控制使得我們能夠在方法調用前、調用后,甚至返回值處理階段實施安全檢查,真正成為開發(fā)者保護服務接口的重要手段

相信小伙伴通過前面章節(jié)的學習,發(fā)現(xiàn)了博主在方法上進行角色和菜單資源驗證的時候使用的一個注解:@PreAuthorize,那么本章節(jié)博主將帶著大家剖析 @PreAuthorize 注解的核心原理、SpEL 表達式機制,并通過的示例代碼演示如何在實際項目中靈活運用該注解實現(xiàn)細粒度的權限控制。

2. @PreAuthorize 注解簡介

@PreAuthorize 注解可以在方法執(zhí)行前對傳入的參數(shù)、當前用戶信息、認證狀態(tài)等進行校驗,從而決定是否允許方法執(zhí)行。常見使用場景包括:

  • 限制某個接口或方法只允許特定角色訪問;
  • 根據(jù)方法參數(shù)和認證信息動態(tài)判斷權限;
  • 調用自定義的權限判斷邏輯(例如上一個章節(jié)中結合自定義 PermissionEvaluator);
  • 限制某個接口或方法只允許特定角色訪問;
  • 根據(jù)方法參數(shù)和認證信息動態(tài)判斷權限;
  • 調用自定義的權限判斷邏輯(例如上一個章節(jié)中結合自定義 PermissionEvaluator);

Spring Security 內部通過 AOP 攔截被 @PreAuthorize 修飾的方法,并利用 Spring Expression Language(SpEL)對注解中定義的表達式進行求值。只有當表達式求值結果為 true 時,方法才會執(zhí)行,否則會拋出拒絕訪問異常。

3. @PreAuthorize 核心原理解析

Spring Security 開啟方法級安全控制實際上非常簡單,只需要在 @Configuration 配置類中添加 @EnableMethodSecurity

@Configuration
//開啟方法級的安全控制
@EnableMethodSecurity
public class AbacSecurityConfig {
	//....
}

方法授權可以分為方法前授權方法后授權的組合,看下面的例子

@Service
public class MyCustomerService {
    @PreAuthorize("hasAuthority('permission:read')")
    @PostAuthorize("returnObject.owner == authentication.name")
    public Customer readCustomer(String id) { ... }
}

當方法安全性被激活時,對 MyCustomerService#readCustomer 的調用流程如下(官方流程圖):

流程解析

Spring AOP 為 readCustomer 調用其代理方法。它調用與AuthorizationManagerBeforeMethodInterceptor切入點匹配的@PreAuthorize
攔截器調用 PreAuthorizeAuthorizationManager#check
授權管理器使用 MethodSecurityExpressionHandler 解析注釋的 SpEL表達式,并從包含EvaluationContext和MethodSecurityExpressionRoot的Supplier構造對應的MethodInvocation。
攔截器使用此上下文來評估表達式,它從Authentication讀取Supplier,并檢查其權限集合中是否有permission:read
如果評估通過,那么Spring AOP繼續(xù)調用該方法
如果不通過,攔截器發(fā)布一個AuthorizationDeniedEvent并拋出一個AccessDeniedException,ExceptionTranslationFilter捕獲并向響應返回一個403狀態(tài)碼
方法返回后,Spring AOP 調用與切入點匹配AuthorizationManagerAfterMethodInterceptor的,操作與上面相同,但是@PostAuthorizePostAuthorizeAuthorizationManager
如果評估通過(在這種情況下,返回值屬于登錄用戶),則處理繼續(xù)正常進行
如果不通過,攔截器將發(fā)布一個AuthorizationDeniedEvent并拋出一個AccessDeniedException,然后捕獲ExceptionTranslationFilter并向響應返回 403 狀態(tài)代碼

攔截與表達式求值

從上述官方介紹的工作流程來看,我們可以簡單總結為:

Spring Security 在啟用方法級安全時,會在應用上下文中配置一個 MethodSecurityInterceptor(基于 AOP 實現(xiàn))。當被 @PreAuthorize 修飾的方法被調用時:

  • 攔截器捕獲方法調用,并構造 EvaluationContext,上下文中包含認證信息、方法參數(shù)等數(shù)據(jù)
  • 使用 MethodSecurityExpressionHandler 將注解中的 SpEL 表達式求值,判斷是否滿足訪問條件
  • 如果表達式結果為 false,則拋出 AccessDeniedException 否則放行執(zhí)行方法

SpEL 表達式

@PreAuthorize 注解的值是一個 SpEL 表達式,可以引用以下內置變量:

  • authentication:當前用戶的認證對象。
  • principal:當前認證用戶的主體信息(通常為 UserDetails 對象)。
  • #root:表達式根對象。
  • 方法參數(shù):可以通過 #paramName 或 #p0 訪問方法參數(shù)。

如下代碼

@PreAuthorize("hasRole('ADMIN') and #id > 10")
public void deleteUser(Long id) { ... }

表示只有當前用戶擁有 ADMIN 角色且方法參數(shù) id 大于 10 時,才能執(zhí)行該方法。

自定義擴展

通過自定義 MethodSecurityExpressionHandler 和 PermissionEvaluator,可以擴展 @PreAuthorize 表達式功能。具體可以查閱上個章節(jié)ABAC屬性權限模型實戰(zhàn)開發(fā)

注解應用實戰(zhàn)

下面通過一些簡單示例,演示如何配置 Spring Security 方法級安全

? 基礎權限校驗

@PreAuthorize("hasRole('ADMIN')")
public void deleteResource(Long resourceId){
    // 方法實現(xiàn)
}
@PreAuthorize("hasAuthority('RESOURCE_APPROVE')")
public void approveRequest(Request request){
    // 審批邏輯
}

? 參數(shù)級權限控制

// 校驗創(chuàng)建者匹配
@PreAuthorize("#article.createdBy == authentication.name")
public void updateArticle(Article article){
    // 更新操作
}
// 參數(shù)過濾示例
@PreAuthorize("@permissionChecker.hasAccess(#userId, 'EDIT')")
public void editUserProfile(Long userId, Profile profile){
    // 編輯邏輯
}

? 動態(tài)業(yè)務規(guī)則集成

如沒有了解的小伙伴,建議查閱博主上一章節(jié)內容(這里僅演示如何配置@PreAuthorize):
最新Spring Security實戰(zhàn)教程(六)最新Spring Security實戰(zhàn)教程(六)基于數(shù)據(jù)庫的ABAC屬性權限模型實戰(zhàn)開發(fā)

public class DocumentPermissionEvaluator {
    public boolean checkAccess(Long docId, String permission) {
        // 自定義文檔權限校驗邏輯
    }
}
// 在SpEL中調用自定義評估器
@PreAuthorize("@documentPermissionEvaluator.checkAccess(#docId, 'WRITE')")
public void updateDocument(Long docId, String content){
    // 文檔更新
}

? 復合條件表達式

// 組合多個條件
@PreAuthorize("hasRole('ADMIN') or (#user.department == authentication.user.department and hasAuthority('DEPT_ADMIN'))")
public void manageUser(User user){
    // 用戶管理邏輯
}

? 返回值后校驗

@PostAuthorize("returnObject.owner == authentication.name")
public Document getConfidentialDocument(Long id){
    // 獲取文檔邏輯
}

? 參數(shù)預處理

@PreFilter("filterObject.owner == authentication.name")
public void batchProcess(List<Document> documents){
    // 僅處理當前用戶擁有的文檔
}

結語

通過本章節(jié)方法級安全控制的介紹,相信大家已經(jīng)能通過靈活運用表達式語言和自定義擴展,讓我們可以在保證系統(tǒng)安全性的同時,維持代碼的優(yōu)雅與可維護性!希望這章節(jié)文章對你在 Spring Security 方法級安全控制的實踐中提供幫助和啟發(fā)!

到此這篇關于Spring Security方法級安全控制@PreAuthorize注解的靈活運用小結的文章就介紹到這了,更多相關Spring Security @PreAuthorize注解內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!

相關文章

  • java報錯非法的前向引用問題

    java報錯非法的前向引用問題

    這篇文章主要介紹了java報錯非法的前向引用問題,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2023-05-05
  • Java線程的三種創(chuàng)建方式

    Java線程的三種創(chuàng)建方式

    這篇文章主要給大家分享的是ava線程的三種創(chuàng)建方式,Thread、Runnable和Thread、Runnable和Thread,想了解具體方式的小伙伴可以參考下面文章內容,希望對你有所幫助
    2021-11-11
  • jmeter壓力測試工具簡介_動力節(jié)點Java學院整理

    jmeter壓力測試工具簡介_動力節(jié)點Java學院整理

    這篇文章主要為大家詳細介紹了jmeter壓力測試工具相關介紹資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2017-08-08
  • Java環(huán)境下高德地圖Api的使用方式

    Java環(huán)境下高德地圖Api的使用方式

    這篇文章主要介紹了Java環(huán)境下高德地圖Api的使用方式,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2021-06-06
  • SpringBoot整合OpenApi的實踐

    SpringBoot整合OpenApi的實踐

    本文主要介紹了SpringBoot整合OpenApi,文中通過示例代碼介紹的非常詳細,具有一定的參考價值,感興趣的小伙伴們可以參考一下
    2021-08-08
  • Java父線程(或是主線程)等待所有子線程退出的實例

    Java父線程(或是主線程)等待所有子線程退出的實例

    下面小編就為大家分享一篇Java父線程(或是主線程)等待所有子線程退出的實例,具有很好的參考價值,希望對大家有所幫助
    2017-11-11
  • Java異步編程之Callbacks與Futures模型詳解

    Java異步編程之Callbacks與Futures模型詳解

    這篇文章主要為大家詳細介紹了Java異步編程中Callbacks與Futures模型的使用,文中的示例代碼講解詳細,感興趣的小伙伴可以跟隨小編一起學習一下
    2023-03-03
  • Java數(shù)組實例練習題整理

    Java數(shù)組實例練習題整理

    在本篇文章中小編給各位分享的是關于Java數(shù)組實例練習題以及相關代碼整理,有需要的朋友們跟著學習下。
    2019-07-07
  • 在IDEA中實現(xiàn)生成Maven依賴關系圖

    在IDEA中實現(xiàn)生成Maven依賴關系圖

    這篇文章主要介紹了在IDEA中實現(xiàn)生成Maven依賴關系圖方式,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2023-07-07
  • java如何將int數(shù)組轉化為Integer數(shù)組

    java如何將int數(shù)組轉化為Integer數(shù)組

    這篇文章主要介紹了java如何將int數(shù)組轉化為Integer數(shù)組,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教
    2022-11-11

最新評論