1. 说明

security 鉴权方式常用的有两种配置,1、配置文件中配置;2、使用注解标注;他们都是基于 acess 表达式,如果需要自定义逻辑的鉴权认证,只需要自定义 access 表达式即可。本文只选取注解的方式,来讲解默认的 access 和自定义的 access 表达式

2.基于注解的使用

2.1 使用前提条件:

注解默认不可用,通过开启注解:在配置类中开启注解 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

  • @Secured:专门判断用户是否具有角色,可以写在方法或类上,参数以 ROLE_ 开头
  • @PreAuthorize\PostAuthorize: PreAuthorize 访问的类或方法执行前判断权限,而 PostAuthorize 在执行之后,Post 基本不用;允许与 ROLE_ 开头。

2.2 基于默认的access表达式

在登录的时候,需要将用户权限返回给security;security才能实现权限控制功能;

具体步骤:

登录时,实现 UserDetailService,重写 loadUserByUsername(String userName)方法。根据 userName 来实现自己的业务逻辑返回 UserDetails 的实现类,需要自定义 User 类实现 UserDetails,比较重要的方法是 getAuthorities(),用来返回该用户所拥有的权限

@Data

public class LoginUser implements UserDetails, Serializable {

    ...

    @Override

    public Collection<? extends GrantedAuthority> getAuthorities() {

        // 根据自定义逻辑来返回用户权限,如果用户权限返回空或者和拦截路径对应权限不同,验证不通过

        if (!permissions.isEmpty()) {

            List<GrantedAuthority> list = new ArrayList<GrantedAuthority>();

            for (String temp : permissions) {

                GrantedAuthority au = new SimpleGrantedAuthority(temp);

                list.add(au);

            }

            return list;

        }

        return null;

    }

}

然后在需要权限控制的controller方法上,添加注解@PreAuthorize("hasAuthority('..*')");其中@PreAuthorize括号中就是access表达式。具体默认的有哪些请参考官网。

@RestController

@RequestMapping("test")

public class TestController {

    @Autowired

    private ISysUserService userService;

    @Autowired

    private PermissionService permissionService;

    @PreAuthorize("hasAuthority('*.*.*')")

    @RequestMapping("userList")

    public ResultVo queryUserList() {

        List<SysUser> list = userService.list();

        List<UserVo> result = list.stream().map(item -> permissionService.getUserInfo(item)).collect(Collectors.toList());

        return ResultVo.success(result);

    }

}

2.3 自定义access表达式

自定义权限认证业务逻辑,然后将该方法标注到注解上

package com.nanboone.framework.security.service;

import java.util.Set;

import com.nanboone.common.utils.ServletUtils;

import com.nanboone.framework.security.domain.LoginUser;

import com.nanboone.framework.token.JwtTokenUtils;

import org.apache.commons.lang3.StringUtils;

import org.springframework.beans.factory.annotation.Autowired;

import org.springframework.stereotype.Service;

import org.springframework.util.CollectionUtils;

/**

 * AuthorityPermissionService:自定义access表达式,鉴权验证。

 * 可以将自定义的access添加到配置类中:http.anyRequest.access(aps.hasPermission(xxx,xxx));

 * 也可以直接使用注解@PreAuthorize:@PreAuthorize(aps.hasPermission(xxx));

 *

 * @Author: dangbo

 * @Date: 2021/5/20 10:12

 */

@Service("aps")

public class AuthorityPermissionService {

    @Autowired

    JwtTokenUtils jwtTokenUtils;

    public boolean hasPermission(String permissions) {

        if (StringUtils.isEmpty(permissions)) {

            return false;

        }

        // 用户信息对象

        LoginUser loginUser = jwtTokenUtils.getLoginUser(ServletUtils.getRequest());

        if (loginUser == null || CollectionUtils.isEmpty(loginUser.getPermissions())) {

            return false;

        }

        Set<String> authorities = loginUser.getPermissions();

        for (String permission : permissions.split(",")) {

            if (StringUtils.isNotEmpty(permission) && hasPermissions(authorities, permission)) {

                return true;

            }

        }

        return false;

    }

    private boolean hasPermissions(Set<String> authorities, String permission) {

        return authorities.contains("*.*.*") || authorities.contains(permission.trim());

    }

}

@RestController

@RequestMapping("test")

public class TestController {

    @Autowired

    private ISysUserService userService;

    @Autowired

    private PermissionService permissionService;

    @PreAuthorize("@aps.hasPermission('*.*.*')")

    @RequestMapping("userList")

    public ResultVo queryUserList() {

        List<SysUser> list = userService.list();

        List<UserVo> result = list.stream().map(item -> permissionService.getUserInfo(item)).collect(Collectors.toList());

        return ResultVo.success(result);

    }

}

springboot security 权限控制 -- @PreAuthorize 的使用的更多相关文章

  1. Spring Security权限控制

    Spring Security官网 : https://projects.spring.io/spring-security/ Spring Security简介: Spring Security是一 ...

  2. 自定义Spring Security权限控制管理(实战篇)

    上篇<话说Spring Security权限管理(源码)>介绍了Spring Security权限控制管理的源码及实现,然而某些情况下,它默认的实现并不能满足我们项目的实际需求,有时候需要 ...

  3. security权限控制

    目录 前言 数据库和dimain 静态页面 配置文件 web.xml引入 service校验方法 用户名的获取 不同角色访问控制权限 jsp页面 后台 前言 spring自带角色权限控制框架 用户-角 ...

  4. Spring Security教程之基于表达式的权限控制(九)

    目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2   ...

  5. spring security 3.1 实现权限控制

    spring security 3.1 实现权限控制 简单介绍:spring security 实现的权限控制,能够分别保护后台方法的管理,url连接訪问的控制,以及页面元素的权限控制等, secur ...

  6. Vue 动态路由的实现以及 Springsecurity 按钮级别的权限控制

    思路: 动态路由实现:在导航守卫中判断用户是否有用户信息,通过调用接口,拿到后台根据用户角色生成的菜单树,格式化菜单树结构信息并递归生成层级路由表并使用Vuex保存,通过 router.addRout ...

  7. springboot整合security实现基于url的权限控制

    权限控制基本上是任何一个web项目都要有的,为此spring为我们提供security模块来实现权限控制,网上找了很多资料,但是提供的demo代码都不能完全满足我的需求,因此自己整理了一版. 在上代码 ...

  8. Spring Security 动态url权限控制(三)

    一.前言 本篇文章将讲述Spring Security 动态分配url权限,未登录权限控制,登录过后根据登录用户角色授予访问url权限 基本环境 spring-boot 2.1.8 mybatis-p ...

  9. Spring Security(17)——基于方法的权限控制

    目录 1.1     intercept-methods定义方法权限控制 1.2     使用pointcut定义方法权限控制 1.3     使用注解定义方法权限控制 1.3.1    JSR-25 ...

  10. Spring Security(16)——基于表达式的权限控制

    目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2   ...

随机推荐

  1. flask自定义参数校验、序列化和反序列化

    项目总体结构 我的工厂函数factory.py from settings import setting from flask import Flask from models.models impo ...

  2. 股票数据爬虫进阶:免费、开源的股票爬虫Python库,实测真香

    更多精彩内容,欢迎关注公众号:数量技术宅,也可添加技术宅个人微信号:sljsz01,与我交流. 免费.开源的股票爬虫Python库:Easyquotation 我们在此前的文章中,向大家分享了如何用P ...

  3. 【源码系列#06】Vue3 Diff算法

    专栏分享:vue2源码专栏,vue3源码专栏,vue router源码专栏,玩具项目专栏,硬核推荐 欢迎各位ITer关注点赞收藏 Vue2 Diff算法可以参考此篇文章[Vue2.x源码系列08]Di ...

  4. 如何做一次完美的 ABTest?

    本文首发于 vivo互联网技术 微信公众号 链接:https://mp.weixin.qq.com/s/mO5MdwG7apD6RzDhFwZhog作者:DuZhimin 越来越多的公司都在尝试 AB ...

  5. P4837

    日了啊,这道题每个输入中有多组输入,每处理完一组输入需要清空STL的stack类对象的啊.要是自己写的栈或许能想起来重新top=1,但是这用的STL现成的stack,就忘了while(!sk.empt ...

  6. Elasticsearch 索引与文档的常用操作总结二:复杂条件查询

    本文为博主原创,未经允许不得转载: 1.  查询所有:match_all GET /es_db/_doc/_search { "query":{ "match_all&q ...

  7. 码农的转型之路-IoTBrowser(物联网浏览器)雏形上线

    消失了半个月闭门造轮子去了,最近干了几件大事: 1.工控盒子,win10系统长时间跑物联网服务测试.运行快2周了,稳定性效果还满意,除了windows自动更新重启了一次. 2 .接触了一些新概念MQT ...

  8. 为什么 sort() 中的 return a-b 可以决定升序

    arr.sort( function(a,b){ return a-b; } ) 千万不要理解成 a 减 b 其实它代表的是26个字母中的 a 和 b b 比 a 大,所以 a - b 就是升序,写成 ...

  9. Mygin实现动态路由

    本篇是Mygin的第四篇 目的 使用 Trie 树实现动态路由解析. 参数绑定 前缀树 本篇比前几篇要复杂一点,原来的路由是用map实现,索引非常高效,但是有一个弊端,键值对的存储的方式,只能用来索引 ...

  10. [转帖]JVM性能调优工具2之jcmd详解(覆盖全网最全的jcmd命令与说明文档)

    上篇文章里<JVM常用性能调优工具详解1>我们已经探究了jps.jstat等监控工具,以及jinfo.jmap.jstack.jhat等故障排查工具,这里我单独拿出一篇文章,特别介绍jcm ...