1. 前言

在實(shí)際項(xiàng)目中，安全控制不僅體現(xiàn)在 URL 攔截層面，方法級(jí)安全控制也越來越受到重視。Spring Security 提供了多種方式實(shí)現(xiàn)方法級(jí)安全，Spring Security 通過方法注解體系，這種細(xì)粒度控制使得我們能夠在方法調(diào)用前、調(diào)用后，甚至返回值處理階段實(shí)施安全檢查，真正成為開發(fā)者保護(hù)服務(wù)接口的重要手段

相信小伙伴通過前面章節(jié)的學(xué)習(xí)，發(fā)現(xiàn)了博主在方法上進(jìn)行角色和菜單資源驗(yàn)證的時(shí)候使用的一個(gè)注解：@PreAuthorize，那么本章節(jié)博主將帶著大家剖析 @PreAuthorize 注解的核心原理、SpEL 表達(dá)式機(jī)制，并通過的示例代碼演示如何在實(shí)際項(xiàng)目中靈活運(yùn)用該注解實(shí)現(xiàn)細(xì)粒度的權(quán)限控制。

2. @PreAuthorize 注解簡介

@PreAuthorize 注解可以在方法執(zhí)行前對(duì)傳入的參數(shù)、當(dāng)前用戶信息、認(rèn)證狀態(tài)等進(jìn)行校驗(yàn)，從而決定是否允許方法執(zhí)行。常見使用場(chǎng)景包括：

• 限制某個(gè)接口或方法只允許特定角色訪問；
• 根據(jù)方法參數(shù)和認(rèn)證信息動(dòng)態(tài)判斷權(quán)限；
• 調(diào)用自定義的權(quán)限判斷邏輯（例如上一個(gè)章節(jié)中結(jié)合自定義 PermissionEvaluator）；
• 限制某個(gè)接口或方法只允許特定角色訪問；
• 根據(jù)方法參數(shù)和認(rèn)證信息動(dòng)態(tài)判斷權(quán)限；
• 調(diào)用自定義的權(quán)限判斷邏輯（例如上一個(gè)章節(jié)中結(jié)合自定義 PermissionEvaluator）；

Spring Security 內(nèi)部通過 AOP 攔截被 @PreAuthorize 修飾的方法，并利用 Spring Expression Language（SpEL）對(duì)注解中定義的表達(dá)式進(jìn)行求值。只有當(dāng)表達(dá)式求值結(jié)果為 true 時(shí)，方法才會(huì)執(zhí)行，否則會(huì)拋出拒絕訪問異常。

3. @PreAuthorize 核心原理解析

Spring Security 開啟方法級(jí)安全控制實(shí)際上非常簡單，只需要在 @Configuration 配置類中添加 @EnableMethodSecurity

@Configuration
//開啟方法級(jí)的安全控制
@EnableMethodSecurity
public class AbacSecurityConfig {
	//....
}

方法授權(quán)可以分為方法前授權(quán)和方法后授權(quán)的組合，看下面的例子

@Service
public class MyCustomerService {
    @PreAuthorize("hasAuthority('permission:read')")
    @PostAuthorize("returnObject.owner == authentication.name")
    public Customer readCustomer(String id) { ... }
}

當(dāng)方法安全性被激活時(shí)，對(duì) MyCustomerService#readCustomer 的調(diào)用流程如下（官方流程圖）：

流程解析

Spring AOP 為 readCustomer 調(diào)用其代理方法。它調(diào)用與AuthorizationManagerBeforeMethodInterceptor切入點(diǎn)匹配的@PreAuthorize
攔截器調(diào)用 PreAuthorizeAuthorizationManager#check
授權(quán)管理器使用 MethodSecurityExpressionHandler 解析注釋的 SpEL表達(dá)式，并從包含EvaluationContext和MethodSecurityExpressionRoot的Supplier構(gòu)造對(duì)應(yīng)的MethodInvocation。
攔截器使用此上下文來評(píng)估表達(dá)式，它從Authentication讀取Supplier，并檢查其權(quán)限集合中是否有permission:read
如果評(píng)估通過，那么Spring AOP繼續(xù)調(diào)用該方法
如果不通過，攔截器發(fā)布一個(gè)AuthorizationDeniedEvent并拋出一個(gè)AccessDeniedException，ExceptionTranslationFilter捕獲并向響應(yīng)返回一個(gè)403狀態(tài)碼
方法返回后，Spring AOP 調(diào)用與切入點(diǎn)匹配AuthorizationManagerAfterMethodInterceptor的，操作與上面相同，但是@PostAuthorizePostAuthorizeAuthorizationManager
如果評(píng)估通過（在這種情況下，返回值屬于登錄用戶），則處理繼續(xù)正常進(jìn)行
如果不通過，攔截器將發(fā)布一個(gè)AuthorizationDeniedEvent并拋出一個(gè)AccessDeniedException，然后捕獲ExceptionTranslationFilter并向響應(yīng)返回 403 狀態(tài)代碼

攔截與表達(dá)式求值

從上述官方介紹的工作流程來看，我們可以簡單總結(jié)為：

Spring Security 在啟用方法級(jí)安全時(shí)，會(huì)在應(yīng)用上下文中配置一個(gè) MethodSecurityInterceptor（基于 AOP 實(shí)現(xiàn)）。當(dāng)被 @PreAuthorize 修飾的方法被調(diào)用時(shí)：

• 攔截器捕獲方法調(diào)用，并構(gòu)造 EvaluationContext，上下文中包含認(rèn)證信息、方法參數(shù)等數(shù)據(jù)
• 使用 MethodSecurityExpressionHandler 將注解中的 SpEL 表達(dá)式求值，判斷是否滿足訪問條件
• 如果表達(dá)式結(jié)果為 false，則拋出 AccessDeniedException 否則放行執(zhí)行方法

SpEL 表達(dá)式

@PreAuthorize 注解的值是一個(gè) SpEL 表達(dá)式，可以引用以下內(nèi)置變量：

• authentication：當(dāng)前用戶的認(rèn)證對(duì)象。
• principal：當(dāng)前認(rèn)證用戶的主體信息（通常為 UserDetails 對(duì)象）。
• #root：表達(dá)式根對(duì)象。
• 方法參數(shù)：可以通過 #paramName 或 #p0 訪問方法參數(shù)。

如下代碼

@PreAuthorize("hasRole('ADMIN') and #id > 10")
public void deleteUser(Long id) { ... }

表示只有當(dāng)前用戶擁有 ADMIN 角色且方法參數(shù) id 大于 10 時(shí)，才能執(zhí)行該方法。

自定義擴(kuò)展

通過自定義 MethodSecurityExpressionHandler 和 PermissionEvaluator，可以擴(kuò)展 @PreAuthorize 表達(dá)式功能。具體可以查閱上個(gè)章節(jié)ABAC屬性權(quán)限模型實(shí)戰(zhàn)開發(fā)

注解應(yīng)用實(shí)戰(zhàn)

下面通過一些簡單示例，演示如何配置 Spring Security 方法級(jí)安全

? 基礎(chǔ)權(quán)限校驗(yàn)

@PreAuthorize("hasRole('ADMIN')")
public void deleteResource(Long resourceId){
    // 方法實(shí)現(xiàn)
}
@PreAuthorize("hasAuthority('RESOURCE_APPROVE')")
public void approveRequest(Request request){
    // 審批邏輯
}

? 參數(shù)級(jí)權(quán)限控制

// 校驗(yàn)創(chuàng)建者匹配
@PreAuthorize("#article.createdBy == authentication.name")
public void updateArticle(Article article){
    // 更新操作
}
// 參數(shù)過濾示例
@PreAuthorize("@permissionChecker.hasAccess(#userId, 'EDIT')")
public void editUserProfile(Long userId, Profile profile){
    // 編輯邏輯
}

? 動(dòng)態(tài)業(yè)務(wù)規(guī)則集成

如沒有了解的小伙伴，建議查閱博主上一章節(jié)內(nèi)容（這里僅演示如何配置@PreAuthorize）：
最新Spring Security實(shí)戰(zhàn)教程（六）最新Spring Security實(shí)戰(zhàn)教程（六）基于數(shù)據(jù)庫的ABAC屬性權(quán)限模型實(shí)戰(zhàn)開發(fā)

public class DocumentPermissionEvaluator {
    public boolean checkAccess(Long docId, String permission) {
        // 自定義文檔權(quán)限校驗(yàn)邏輯
    }
}
// 在SpEL中調(diào)用自定義評(píng)估器
@PreAuthorize("@documentPermissionEvaluator.checkAccess(#docId, 'WRITE')")
public void updateDocument(Long docId, String content){
    // 文檔更新
}

? 復(fù)合條件表達(dá)式

// 組合多個(gè)條件
@PreAuthorize("hasRole('ADMIN') or (#user.department == authentication.user.department and hasAuthority('DEPT_ADMIN'))")
public void manageUser(User user){
    // 用戶管理邏輯
}

? 返回值后校驗(yàn)

@PostAuthorize("returnObject.owner == authentication.name")
public Document getConfidentialDocument(Long id){
    // 獲取文檔邏輯
}

? 參數(shù)預(yù)處理

@PreFilter("filterObject.owner == authentication.name")
public void batchProcess(List<Document> documents){
    // 僅處理當(dāng)前用戶擁有的文檔
}

結(jié)語

通過本章節(jié)方法級(jí)安全控制的介紹，相信大家已經(jīng)能通過靈活運(yùn)用表達(dá)式語言和自定義擴(kuò)展，讓我們可以在保證系統(tǒng)安全性的同時(shí)，維持代碼的優(yōu)雅與可維護(hù)性！希望這章節(jié)文章對(duì)你在 Spring Security 方法級(jí)安全控制的實(shí)踐中提供幫助和啟發(fā)！

到此這篇關(guān)于Spring Security方法級(jí)安全控制@PreAuthorize注解的靈活運(yùn)用小結(jié)的文章就介紹到這了,更多相關(guān)Spring Security @PreAuthorize注解內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論