Spring?Security方法級安全控制@PreAuthorize注解的靈活運用小結
1. 前言
在實際項目中,安全控制不僅體現(xiàn)在 URL
攔截層面,方法級安全控制也越來越受到重視。Spring Security
提供了多種方式實現(xiàn)方法級安全,Spring Security
通過方法注解體系,這種細粒度控制使得我們能夠在方法調用前、調用后,甚至返回值處理階段實施安全檢查,真正成為開發(fā)者保護服務接口的重要手段
相信小伙伴通過前面章節(jié)的學習,發(fā)現(xiàn)了博主在方法上進行角色和菜單資源驗證的時候使用的一個注解:@PreAuthorize,那么本章節(jié)博主將帶著大家剖析 @PreAuthorize 注解的核心原理、SpEL
表達式機制,并通過的示例代碼演示如何在實際項目中靈活運用該注解實現(xiàn)細粒度的權限控制。
2. @PreAuthorize 注解簡介
@PreAuthorize
注解可以在方法執(zhí)行前對傳入的參數(shù)、當前用戶信息、認證狀態(tài)等進行校驗,從而決定是否允許方法執(zhí)行。常見使用場景包括:
- 限制某個接口或方法只允許特定角色訪問;
- 根據(jù)方法參數(shù)和認證信息動態(tài)判斷權限;
- 調用自定義的權限判斷邏輯(例如上一個章節(jié)中結合自定義 PermissionEvaluator);
- 限制某個接口或方法只允許特定角色訪問;
- 根據(jù)方法參數(shù)和認證信息動態(tài)判斷權限;
- 調用自定義的權限判斷邏輯(例如上一個章節(jié)中結合自定義 PermissionEvaluator);
Spring Security
內部通過 AOP
攔截被 @PreAuthorize
修飾的方法,并利用 Spring Expression Language(SpEL)
對注解中定義的表達式進行求值。只有當表達式求值結果為 true 時,方法才會執(zhí)行,否則會拋出拒絕訪問異常。
3. @PreAuthorize 核心原理解析
Spring Security
開啟方法級安全控制實際上非常簡單,只需要在 @Configuration
配置類中添加 @EnableMethodSecurity
@Configuration //開啟方法級的安全控制 @EnableMethodSecurity public class AbacSecurityConfig { //.... }
方法授權可以分為方法前授權和方法后授權的組合,看下面的例子
@Service public class MyCustomerService { @PreAuthorize("hasAuthority('permission:read')") @PostAuthorize("returnObject.owner == authentication.name") public Customer readCustomer(String id) { ... } }
當方法安全性被激活時,對 MyCustomerService#readCustomer 的調用流程如下(官方流程圖):
流程解析
Spring AOP 為 readCustomer 調用其代理方法。它調用與AuthorizationManagerBeforeMethodInterceptor切入點匹配的@PreAuthorize
攔截器調用 PreAuthorizeAuthorizationManager#check
授權管理器使用 MethodSecurityExpressionHandler 解析注釋的 SpEL表達式,并從包含EvaluationContext和MethodSecurityExpressionRoot的Supplier構造對應的MethodInvocation。
攔截器使用此上下文來評估表達式,它從Authentication讀取Supplier,并檢查其權限集合中是否有permission:read
如果評估通過,那么Spring AOP繼續(xù)調用該方法
如果不通過,攔截器發(fā)布一個AuthorizationDeniedEvent并拋出一個AccessDeniedException,ExceptionTranslationFilter捕獲并向響應返回一個403狀態(tài)碼
方法返回后,Spring AOP 調用與切入點匹配AuthorizationManagerAfterMethodInterceptor的,操作與上面相同,但是@PostAuthorizePostAuthorizeAuthorizationManager
如果評估通過(在這種情況下,返回值屬于登錄用戶),則處理繼續(xù)正常進行
如果不通過,攔截器將發(fā)布一個AuthorizationDeniedEvent并拋出一個AccessDeniedException,然后捕獲ExceptionTranslationFilter并向響應返回 403 狀態(tài)代碼
攔截與表達式求值
從上述官方介紹的工作流程來看,我們可以簡單總結為:
Spring Security
在啟用方法級安全時,會在應用上下文中配置一個 MethodSecurityInterceptor
(基于 AOP 實現(xiàn))。當被 @PreAuthorize
修飾的方法被調用時:
- 攔截器捕獲方法調用,并構造
EvaluationContext
,上下文中包含認證信息、方法參數(shù)等數(shù)據(jù) - 使用
MethodSecurityExpressionHandler
將注解中的SpEL
表達式求值,判斷是否滿足訪問條件 - 如果表達式結果為 false,則拋出
AccessDeniedException
否則放行執(zhí)行方法
SpEL 表達式
@PreAuthorize
注解的值是一個 SpEL
表達式,可以引用以下內置變量:
- authentication:當前用戶的認證對象。
- principal:當前認證用戶的主體信息(通常為 UserDetails 對象)。
- #root:表達式根對象。
- 方法參數(shù):可以通過 #paramName 或 #p0 訪問方法參數(shù)。
如下代碼
@PreAuthorize("hasRole('ADMIN') and #id > 10") public void deleteUser(Long id) { ... }
表示只有當前用戶擁有 ADMIN 角色且方法參數(shù) id 大于 10 時,才能執(zhí)行該方法。
自定義擴展
通過自定義 MethodSecurityExpressionHandler 和 PermissionEvaluator,可以擴展 @PreAuthorize 表達式功能。具體可以查閱上個章節(jié)ABAC屬性權限模型實戰(zhàn)開發(fā)
注解應用實戰(zhàn)
下面通過一些簡單示例,演示如何配置 Spring Security
方法級安全
? 基礎權限校驗
@PreAuthorize("hasRole('ADMIN')") public void deleteResource(Long resourceId){ // 方法實現(xiàn) } @PreAuthorize("hasAuthority('RESOURCE_APPROVE')") public void approveRequest(Request request){ // 審批邏輯 }
? 參數(shù)級權限控制
// 校驗創(chuàng)建者匹配 @PreAuthorize("#article.createdBy == authentication.name") public void updateArticle(Article article){ // 更新操作 } // 參數(shù)過濾示例 @PreAuthorize("@permissionChecker.hasAccess(#userId, 'EDIT')") public void editUserProfile(Long userId, Profile profile){ // 編輯邏輯 }
? 動態(tài)業(yè)務規(guī)則集成
如沒有了解的小伙伴,建議查閱博主上一章節(jié)內容(這里僅演示如何配置@PreAuthorize):
最新Spring Security實戰(zhàn)教程(六)最新Spring Security實戰(zhàn)教程(六)基于數(shù)據(jù)庫的ABAC屬性權限模型實戰(zhàn)開發(fā)
public class DocumentPermissionEvaluator { public boolean checkAccess(Long docId, String permission) { // 自定義文檔權限校驗邏輯 } } // 在SpEL中調用自定義評估器 @PreAuthorize("@documentPermissionEvaluator.checkAccess(#docId, 'WRITE')") public void updateDocument(Long docId, String content){ // 文檔更新 }
? 復合條件表達式
// 組合多個條件 @PreAuthorize("hasRole('ADMIN') or (#user.department == authentication.user.department and hasAuthority('DEPT_ADMIN'))") public void manageUser(User user){ // 用戶管理邏輯 }
? 返回值后校驗
@PostAuthorize("returnObject.owner == authentication.name") public Document getConfidentialDocument(Long id){ // 獲取文檔邏輯 }
? 參數(shù)預處理
@PreFilter("filterObject.owner == authentication.name") public void batchProcess(List<Document> documents){ // 僅處理當前用戶擁有的文檔 }
結語
通過本章節(jié)方法級安全控制的介紹,相信大家已經(jīng)能通過靈活運用表達式語言和自定義擴展,讓我們可以在保證系統(tǒng)安全性的同時,維持代碼的優(yōu)雅與可維護性!希望這章節(jié)文章對你在 Spring Security
方法級安全控制的實踐中提供幫助和啟發(fā)!
到此這篇關于Spring Security方法級安全控制@PreAuthorize注解的靈活運用小結的文章就介紹到這了,更多相關Spring Security @PreAuthorize注解內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
相關文章
jmeter壓力測試工具簡介_動力節(jié)點Java學院整理
這篇文章主要為大家詳細介紹了jmeter壓力測試工具相關介紹資料,具有一定的參考價值,感興趣的小伙伴們可以參考一下2017-08-08Java異步編程之Callbacks與Futures模型詳解
這篇文章主要為大家詳細介紹了Java異步編程中Callbacks與Futures模型的使用,文中的示例代碼講解詳細,感興趣的小伙伴可以跟隨小編一起學習一下2023-03-03java如何將int數(shù)組轉化為Integer數(shù)組
這篇文章主要介紹了java如何將int數(shù)組轉化為Integer數(shù)組,具有很好的參考價值,希望對大家有所幫助。如有錯誤或未考慮完全的地方,望不吝賜教2022-11-11