Spring?Security方法級(jí)安全控制@PreAuthorize注解的靈活運(yùn)用小結(jié)
1. 前言
在實(shí)際項(xiàng)目中,安全控制不僅體現(xiàn)在 URL
攔截層面,方法級(jí)安全控制也越來越受到重視。Spring Security
提供了多種方式實(shí)現(xiàn)方法級(jí)安全,Spring Security
通過方法注解體系,這種細(xì)粒度控制使得我們能夠在方法調(diào)用前、調(diào)用后,甚至返回值處理階段實(shí)施安全檢查,真正成為開發(fā)者保護(hù)服務(wù)接口的重要手段
相信小伙伴通過前面章節(jié)的學(xué)習(xí),發(fā)現(xiàn)了博主在方法上進(jìn)行角色和菜單資源驗(yàn)證的時(shí)候使用的一個(gè)注解:@PreAuthorize,那么本章節(jié)博主將帶著大家剖析 @PreAuthorize 注解的核心原理、SpEL
表達(dá)式機(jī)制,并通過的示例代碼演示如何在實(shí)際項(xiàng)目中靈活運(yùn)用該注解實(shí)現(xiàn)細(xì)粒度的權(quán)限控制。
2. @PreAuthorize 注解簡介
@PreAuthorize
注解可以在方法執(zhí)行前對(duì)傳入的參數(shù)、當(dāng)前用戶信息、認(rèn)證狀態(tài)等進(jìn)行校驗(yàn),從而決定是否允許方法執(zhí)行。常見使用場(chǎng)景包括:
- 限制某個(gè)接口或方法只允許特定角色訪問;
- 根據(jù)方法參數(shù)和認(rèn)證信息動(dòng)態(tài)判斷權(quán)限;
- 調(diào)用自定義的權(quán)限判斷邏輯(例如上一個(gè)章節(jié)中結(jié)合自定義 PermissionEvaluator);
- 限制某個(gè)接口或方法只允許特定角色訪問;
- 根據(jù)方法參數(shù)和認(rèn)證信息動(dòng)態(tài)判斷權(quán)限;
- 調(diào)用自定義的權(quán)限判斷邏輯(例如上一個(gè)章節(jié)中結(jié)合自定義 PermissionEvaluator);
Spring Security
內(nèi)部通過 AOP
攔截被 @PreAuthorize
修飾的方法,并利用 Spring Expression Language(SpEL)
對(duì)注解中定義的表達(dá)式進(jìn)行求值。只有當(dāng)表達(dá)式求值結(jié)果為 true 時(shí),方法才會(huì)執(zhí)行,否則會(huì)拋出拒絕訪問異常。
3. @PreAuthorize 核心原理解析
Spring Security
開啟方法級(jí)安全控制實(shí)際上非常簡單,只需要在 @Configuration
配置類中添加 @EnableMethodSecurity
@Configuration //開啟方法級(jí)的安全控制 @EnableMethodSecurity public class AbacSecurityConfig { //.... }
方法授權(quán)可以分為方法前授權(quán)和方法后授權(quán)的組合,看下面的例子
@Service public class MyCustomerService { @PreAuthorize("hasAuthority('permission:read')") @PostAuthorize("returnObject.owner == authentication.name") public Customer readCustomer(String id) { ... } }
當(dāng)方法安全性被激活時(shí),對(duì) MyCustomerService#readCustomer 的調(diào)用流程如下(官方流程圖):
流程解析
Spring AOP 為 readCustomer 調(diào)用其代理方法。它調(diào)用與AuthorizationManagerBeforeMethodInterceptor切入點(diǎn)匹配的@PreAuthorize
攔截器調(diào)用 PreAuthorizeAuthorizationManager#check
授權(quán)管理器使用 MethodSecurityExpressionHandler 解析注釋的 SpEL表達(dá)式,并從包含EvaluationContext和MethodSecurityExpressionRoot的Supplier構(gòu)造對(duì)應(yīng)的MethodInvocation。
攔截器使用此上下文來評(píng)估表達(dá)式,它從Authentication讀取Supplier,并檢查其權(quán)限集合中是否有permission:read
如果評(píng)估通過,那么Spring AOP繼續(xù)調(diào)用該方法
如果不通過,攔截器發(fā)布一個(gè)AuthorizationDeniedEvent并拋出一個(gè)AccessDeniedException,ExceptionTranslationFilter捕獲并向響應(yīng)返回一個(gè)403狀態(tài)碼
方法返回后,Spring AOP 調(diào)用與切入點(diǎn)匹配AuthorizationManagerAfterMethodInterceptor的,操作與上面相同,但是@PostAuthorizePostAuthorizeAuthorizationManager
如果評(píng)估通過(在這種情況下,返回值屬于登錄用戶),則處理繼續(xù)正常進(jìn)行
如果不通過,攔截器將發(fā)布一個(gè)AuthorizationDeniedEvent并拋出一個(gè)AccessDeniedException,然后捕獲ExceptionTranslationFilter并向響應(yīng)返回 403 狀態(tài)代碼
攔截與表達(dá)式求值
從上述官方介紹的工作流程來看,我們可以簡單總結(jié)為:
Spring Security
在啟用方法級(jí)安全時(shí),會(huì)在應(yīng)用上下文中配置一個(gè) MethodSecurityInterceptor
(基于 AOP 實(shí)現(xiàn))。當(dāng)被 @PreAuthorize
修飾的方法被調(diào)用時(shí):
- 攔截器捕獲方法調(diào)用,并構(gòu)造
EvaluationContext
,上下文中包含認(rèn)證信息、方法參數(shù)等數(shù)據(jù) - 使用
MethodSecurityExpressionHandler
將注解中的SpEL
表達(dá)式求值,判斷是否滿足訪問條件 - 如果表達(dá)式結(jié)果為 false,則拋出
AccessDeniedException
否則放行執(zhí)行方法
SpEL 表達(dá)式
@PreAuthorize
注解的值是一個(gè) SpEL
表達(dá)式,可以引用以下內(nèi)置變量:
- authentication:當(dāng)前用戶的認(rèn)證對(duì)象。
- principal:當(dāng)前認(rèn)證用戶的主體信息(通常為 UserDetails 對(duì)象)。
- #root:表達(dá)式根對(duì)象。
- 方法參數(shù):可以通過 #paramName 或 #p0 訪問方法參數(shù)。
如下代碼
@PreAuthorize("hasRole('ADMIN') and #id > 10") public void deleteUser(Long id) { ... }
表示只有當(dāng)前用戶擁有 ADMIN 角色且方法參數(shù) id 大于 10 時(shí),才能執(zhí)行該方法。
自定義擴(kuò)展
通過自定義 MethodSecurityExpressionHandler 和 PermissionEvaluator,可以擴(kuò)展 @PreAuthorize 表達(dá)式功能。具體可以查閱上個(gè)章節(jié)ABAC屬性權(quán)限模型實(shí)戰(zhàn)開發(fā)
注解應(yīng)用實(shí)戰(zhàn)
下面通過一些簡單示例,演示如何配置 Spring Security
方法級(jí)安全
? 基礎(chǔ)權(quán)限校驗(yàn)
@PreAuthorize("hasRole('ADMIN')") public void deleteResource(Long resourceId){ // 方法實(shí)現(xiàn) } @PreAuthorize("hasAuthority('RESOURCE_APPROVE')") public void approveRequest(Request request){ // 審批邏輯 }
? 參數(shù)級(jí)權(quán)限控制
// 校驗(yàn)創(chuàng)建者匹配 @PreAuthorize("#article.createdBy == authentication.name") public void updateArticle(Article article){ // 更新操作 } // 參數(shù)過濾示例 @PreAuthorize("@permissionChecker.hasAccess(#userId, 'EDIT')") public void editUserProfile(Long userId, Profile profile){ // 編輯邏輯 }
? 動(dòng)態(tài)業(yè)務(wù)規(guī)則集成
如沒有了解的小伙伴,建議查閱博主上一章節(jié)內(nèi)容(這里僅演示如何配置@PreAuthorize):
最新Spring Security實(shí)戰(zhàn)教程(六)最新Spring Security實(shí)戰(zhàn)教程(六)基于數(shù)據(jù)庫的ABAC屬性權(quán)限模型實(shí)戰(zhàn)開發(fā)
public class DocumentPermissionEvaluator { public boolean checkAccess(Long docId, String permission) { // 自定義文檔權(quán)限校驗(yàn)邏輯 } } // 在SpEL中調(diào)用自定義評(píng)估器 @PreAuthorize("@documentPermissionEvaluator.checkAccess(#docId, 'WRITE')") public void updateDocument(Long docId, String content){ // 文檔更新 }
? 復(fù)合條件表達(dá)式
// 組合多個(gè)條件 @PreAuthorize("hasRole('ADMIN') or (#user.department == authentication.user.department and hasAuthority('DEPT_ADMIN'))") public void manageUser(User user){ // 用戶管理邏輯 }
? 返回值后校驗(yàn)
@PostAuthorize("returnObject.owner == authentication.name") public Document getConfidentialDocument(Long id){ // 獲取文檔邏輯 }
? 參數(shù)預(yù)處理
@PreFilter("filterObject.owner == authentication.name") public void batchProcess(List<Document> documents){ // 僅處理當(dāng)前用戶擁有的文檔 }
結(jié)語
通過本章節(jié)方法級(jí)安全控制的介紹,相信大家已經(jīng)能通過靈活運(yùn)用表達(dá)式語言和自定義擴(kuò)展,讓我們可以在保證系統(tǒng)安全性的同時(shí),維持代碼的優(yōu)雅與可維護(hù)性!希望這章節(jié)文章對(duì)你在 Spring Security
方法級(jí)安全控制的實(shí)踐中提供幫助和啟發(fā)!
到此這篇關(guān)于Spring Security方法級(jí)安全控制@PreAuthorize注解的靈活運(yùn)用小結(jié)的文章就介紹到這了,更多相關(guān)Spring Security @PreAuthorize注解內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家!
- Spring Security @PreAuthorize注解分析
- SpringSecurity中@PermitAll與@PreAuthorize的實(shí)現(xiàn)
- 如何基于SpringSecurity的@PreAuthorize實(shí)現(xiàn)自定義權(quán)限校驗(yàn)方法
- SpringSecurity的@EnableWebSecurity注解詳解
- 詳解Spring Security中權(quán)限注解的使用
- 一個(gè)注解搞定Spring Security基于Oauth2的SSO單點(diǎn)登錄功能
- 帶你詳細(xì)了解Spring Security的注解方式開發(fā)
相關(guān)文章
jmeter壓力測(cè)試工具簡介_動(dòng)力節(jié)點(diǎn)Java學(xué)院整理
這篇文章主要為大家詳細(xì)介紹了jmeter壓力測(cè)試工具相關(guān)介紹資料,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下2017-08-08Java父線程(或是主線程)等待所有子線程退出的實(shí)例
下面小編就為大家分享一篇Java父線程(或是主線程)等待所有子線程退出的實(shí)例,具有很好的參考價(jià)值,希望對(duì)大家有所幫助2017-11-11Java異步編程之Callbacks與Futures模型詳解
這篇文章主要為大家詳細(xì)介紹了Java異步編程中Callbacks與Futures模型的使用,文中的示例代碼講解詳細(xì),感興趣的小伙伴可以跟隨小編一起學(xué)習(xí)一下2023-03-03在IDEA中實(shí)現(xiàn)生成Maven依賴關(guān)系圖
這篇文章主要介紹了在IDEA中實(shí)現(xiàn)生成Maven依賴關(guān)系圖方式,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2023-07-07java如何將int數(shù)組轉(zhuǎn)化為Integer數(shù)組
這篇文章主要介紹了java如何將int數(shù)組轉(zhuǎn)化為Integer數(shù)組,具有很好的參考價(jià)值,希望對(duì)大家有所幫助。如有錯(cuò)誤或未考慮完全的地方,望不吝賜教2022-11-11