日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
SpringSecurity中的四種權(quán)限控制方式

 Spring Security 中對于權(quán)限控制默認已經(jīng)提供了很多了,但是,一個優(yōu)秀的框架必須具備良好的擴展性,恰好,Spring Security 的擴展性就非常棒,我們既可以使用 Spring Security 提供的方式做授權(quán),也可以自定義授權(quán)邏輯。一句話,你想怎么玩都可以!

今天松哥來和大家介紹一下 Spring Security 中四種常見的權(quán)限控制方式。

  • 表達式控制 URL 路徑權(quán)限
  • 表達式控制方法權(quán)限
  • 使用過濾注解
  • 動態(tài)權(quán)限

四種方式,我們分別來看。

1.表達式控制 URL 路徑權(quán)限

首先我們來看第一種,就是通過表達式控制 URL 路徑權(quán)限,這種方式松哥在之前的文章中實際上和大家講過,這里我們再來稍微復(fù)習(xí)一下。

Spring Security 支持在 URL 和方法權(quán)限控制時使用 SpEL 表達式,如果表達式返回值為 true 則表示需要對應(yīng)的權(quán)限,否則表示不需要對應(yīng)的權(quán)限。提供表達式的類是 SecurityExpressionRoot:

可以看到,SecurityExpressionRoot 有兩個實現(xiàn)類,表示在應(yīng)對 URL 權(quán)限控制和應(yīng)對方法權(quán)限控制時,分別對 SpEL 所做的拓展,例如在基于 URL 路徑做權(quán)限控制時,增加了 hasIpAddress 選項。

我們來看下 SecurityExpressionRoot 類中定義的最基本的 SpEL 有哪些:

可以看到,這些都是該類對應(yīng)的表達式,這些表達式我來給大家稍微解釋下:

表達式 備注
hasRole用戶具備某個角色即可訪問資源
hasAnyRole用戶具備多個角色中的任意一個即可訪問資源
hasAuthority類似于 hasRole
hasAnyAuthority類似于 hasAnyRole
permitAll統(tǒng)統(tǒng)允許訪問
denyAll統(tǒng)統(tǒng)拒絕訪問
isAnonymous判斷是否匿名用戶
isAuthenticated判斷是否認證成功
isRememberMe判斷是否通過記住我登錄的
isFullyAuthenticated判斷是否用戶名/密碼登錄的
principle當前用戶
authentication從 SecurityContext 中提取出來的用戶對象

這是最基本的,在它的繼承類中,還有做一些拓展,我這個我就不重復(fù)介紹了。

如果是通過 URL 進行權(quán)限控制,那么我們只需要按照如下方式配置即可:

 
 
 
 
    
  
  
  
  
  1. protected void configure(HttpSecurity http) throws Exception { 
    2. 
  
  
  
  
  2.     http.authorizeRequests() 
    3. 
  
  
  
  
  3.             .antMatchers("/admin/**").hasRole("admin") 
    4. 
  
  
  
  
  4.             .antMatchers("/user/**").hasAnyRole("admin", "user") 
    5. 
  
  
  
  
  5.             .anyRequest().authenticated() 
    6. 
  
  
  
  
  6.             .and() 
    7. 
  
  
  
  
  7.             ... 
    8. 
  
  
  
  
    9.

這里表示訪問 /admin/** 格式的路徑需要 admin 角色,訪問 /user/** 格式的路徑需要 admin 或者 user 角色。

2.表達式控制方法權(quán)限

當然,我們也可以通過在方法上添加注解來控制權(quán)限。

在方法上添加注解控制權(quán)限,需要我們首先開啟注解的使用,在 Spring Security 配置類上添加如下內(nèi)容:

 
 
 
 
    
  
  
  
  
  1. @Configuration 
    2. 
  
  
  
  
  2. @EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true) 
    3. 
  
  
  
  
  3. public class SecurityConfig extends WebSecurityConfigurerAdapter { 
    4. 
  
  
  
  
  4.     ... 
    5. 
  
  
  
  
  5.     ... 
    6. 
  
  
  
  
    7.

這個配置開啟了三個注解,分別是:

  • @PreAuthorize:方法執(zhí)行前進行權(quán)限檢查
  • @PostAuthorize:方法執(zhí)行后進行權(quán)限檢查
  • @Secured:類似于 @PreAuthorize

這三個結(jié)合 SpEL 之后,用法非常靈活,這里和大家稍微分享幾個 Demo。

 
 
 
 
    
  
  
  
  
  1. @Service 
    2. 
  
  
  
  
  2. public class HelloService { 
    3. 
  
  
  
  
  3.     @PreAuthorize("principal.username.equals('javaboy')") 
    4. 
  
  
  
  
  4.     public String hello() { 
    5. 
  
  
  
  
  5.         return "hello"; 
    6. 
  
  
  
  
  6.     } 
    7. 
  
  
  
  
  7.  
    8. 
  
  
  
  
  8.     @PreAuthorize("hasRole('admin')") 
    9. 
  
  
  
  
  9.     public String admin() { 
    10. 
  
  
  
  
  10.         return "admin"; 
    11. 
  
  
  
  
  11.     } 
    12. 
  
  
  
  
  12.  
    13. 
  
  
  
  
  13.     @Secured({"ROLE_user"}) 
    14. 
  
  
  
  
  14.     public String user() { 
    15. 
  
  
  
  
  15.         return "user"; 
    16. 
  
  
  
  
  16.     } 
    17. 
  
  
  
  
  17.  
    18. 
  
  
  
  
  18.     @PreAuthorize("#age>98") 
    19. 
  
  
  
  
  19.     public String getAge(Integer age) { 
    20. 
  
  
  
  
  20.         return String.valueOf(age); 
    21. 
  
  
  
  
  21.     } 
    22. 
  
  
  
  
    23.
  1. 第一個 hello 方法,注解的約束是,只有當前登錄用戶名為 javaboy 的用戶才可以訪問該方法。
  2. 第二個 admin 方法,表示訪問該方法的用戶必須具備 admin 角色。
  3. 第三個 user 方法,表示方法該方法的用戶必須具備 user 角色,但是注意 user 角色需要加上 ROLE_ 前綴。
  4. 第四個 getAge 方法,表示訪問該方法的 age 參數(shù)必須大于 98,否則請求不予通過。

可以看到,這里的表達式還是非常豐富,如果想引用方法的參數(shù),前面加上一個 # 即可,既可以引用基本類型的參數(shù),也可以引用對象參數(shù)。

缺省對象除了 principal ,還有 authentication(參考第一小節(jié))。

3.使用過濾注解

Spring Security 中還有兩個過濾函數(shù) @PreFilter 和 @PostFilter,可以根據(jù)給出的條件,自動移除集合中的元素。

 
 
 
 
    
  
  
  
  
  1. @PostFilter("filterObject.lastIndexOf('2')!=-1") 
    2. 
  
  
  
  
  2. public List getAllUser() { 
    3. 
  
  
  
  
  3.     List users = new ArrayList<>(); 
    4. 
  
  
  
  
  4.     for (int i = 0; i < 10; i++) { 
    5. 
  
  
  
  
  5.         users.add("javaboy:" + i); 
    6. 
  
  
  
  
  6.     } 
    7. 
  
  
  
  
  7.     return users; 
    8. 
  
  
  
  
    9. 
  
  
  
  
  9. @PreFilter(filterTarget = "ages",value = "filterObject%2==0") 
    10. 
  
  
  
  
  10. public void getAllAge(List ages,List users) { 
    11. 
  
  
  
  
  11.     System.out.println("ages = " + ages); 
    12. 
  
  
  
  
  12.     System.out.println("users = " + users); 
    13. 
  
  
  
  
    14.

在 getAllUser 方法中,對集合進行過濾,只返回后綴為 2 的元素,filterObject 表示要過濾的元素對象。

在 getAllAge 方法中,由于有兩個集合,因此使用 filterTarget 指定過濾對象。

4.動態(tài)權(quán)限

動態(tài)權(quán)限主要通過重寫攔截器和決策器來實現(xiàn),這個我在 vhr 的文檔中有過詳細介紹。

5.小結(jié)

好啦,今天就喝小伙伴們稍微聊了一下 Spring Security 中的授權(quán)問題,當然這里還有很多細節(jié),后面松哥再和大家一一細聊。

本文轉(zhuǎn)載自微信公眾號「江南一點雨」,可以通過以下二維碼關(guān)注。轉(zhuǎn)載本文請聯(lián)系江南一點雨公眾號。


本文標題:SpringSecurity中的四種權(quán)限控制方式
URL標題:http://www.5511xx.com/article/djgsdgd.html