@Secured(), @PreAuthorize()

前面简单的提到过这两个注解的区别，那只是从配置以及原理上做的说明，今天，将从使用即代码层面加以说明这两个的使用注意事项！

首先， 若是自己实现用户信息数据库存储的话，需要注意UserDetails的函数（下面代码来自于Spring boot 1.2.7 Release的依赖 Spring security 3.2.8）：

     /**
      * Returns the authorities granted to the user. Cannot return <code>null</code>.
      *
      * @return the authorities, sorted by natural key (never <code>null</code>)
      */
     Collection<? extends GrantedAuthority> getAuthorities();

在我的MUEAS项目中，这个接口函数的实现是下面这个样子的：

 public class SecuredUser extends User implements UserDetails{

     private static final long serialVersionUID = -1501400226764036054L;

     private User user;
     public SecuredUser(User user){
         if(user != null){
             this.user = user;
             this.setUserId(user.getId());
             this.setUserId(user.getUserId());
             this.setUsername(user.getUsername());
             this.setPassword(user.getPassword());
             this.setRole(user.getRole().name());
             //this.setDate(user.getDate());

             this.setAccountNonExpired(user.isAccountNonExpired());
             this.setAccountNonLocked(user.isAccountNonLocked());
             this.setCredentialsNonExpired(user.isCredentialsNonExpired());
             this.setEnabled(user.isEnabled());
         }
     }

     public void setUser(User user){
         this.user = user;
     }

     public User getUser(){
         return this.user;
     }

     @Override
     public Collection<? extends GrantedAuthority> getAuthorities() {
         Collection<GrantedAuthority> authorities = new ArrayList<>();
         Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");
         Role role = user.getRole();

         if(role != null){
             SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());
             authorities.add(authority);
         }
         return authorities;
     }
 }

注意，我在创建SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());的时候没有添加“ROLE_”这个rolePrefix前缀，也就是说，我没有像下面这个样子操作：

         @Override
     public Collection<? extends GrantedAuthority> getAuthorities() {
         Collection<GrantedAuthority> authorities = new ArrayList<>();
         Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");
         Role role = user.getRole();

         if(role != null){
             SimpleGrantedAuthority authority = new SimpleGrantedAuthority(“ROLE_”+role.name());
             authorities.add(authority);
         }
         return authorities;
     }    

不要小看这一区别，这个将会影响后面权限控制的编码方式。

具体说来， 若采用@EnableGlobalMethodSecurity(securedEnabled = true)注解，对函数访问进行控制，那么，就会有一些问题(不加ROLE_)，因为，这个时候，AccessDecissionManager会选择RoleVoter进行vote，但是RoleVoter默认的rolePrefix是“ROLE_”。

当函数上加有@Secured(),我的项目中是@Secured({"ROLE_ROOT"})

     @RequestMapping(value = "/setting/username", method = RequestMethod.POST)
     @Secured({"ROLE_ROOT"})
     @ResponseBody
     public Map<String, String> userName(User user, @RequestParam(value = "username") String username){
         Map<String, String> modelMap = new HashMap<String, String>();
         System.out.println(username);    

         user.setUsername(username);
         userService.update(user);

         modelMap.put("status", "ok");
         return modelMap;
     }

而RoleVoter选举时，会检测是否支持。如下函数（来自Spring Security 3.2.8 Release默认的RoleVoter类）

 public boolean supports(ConfigAttribute attribute) {
         if ((attribute.getAttribute() != null) && attribute.getAttribute().startsWith(getRolePrefix())) {
             return true;
         }
         else {
             return false;
         }
     }

上面的函数会返回true，因为传递进去的attribute是来自于@Secured（{"ROLE_ROOT"}）注解。不幸的时，当进入RoleVoter的vote函数时，就失败了：

 public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
         int result = ACCESS_ABSTAIN;
         Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

         for (ConfigAttribute attribute : attributes) {
             if (this.supports(attribute)) {
                 result = ACCESS_DENIED;

                 // Attempt to find a matching granted authority
                 for (GrantedAuthority authority : authorities) {
                     if (attribute.getAttribute().equals(authority.getAuthority())) {
                         return ACCESS_GRANTED;
                     }
                 }
             }
         }

         return result;
     }

原因在于，authority.getAuthority()返回的将是ROOT,而并不是ROLE_ROOT。然而，即使将@Secured({"ROLE_ROOT"})改为@Secured({"ROOT"})也没有用， 所以，即使当前用户是ROOT权限用户，也没有办法操作，会放回403 Access Denied Exception.

解决的办法：有两个。

第一个： 就是将前面提到的UserDetails的接口函数getAuthorities()的实现中，添加前缀，如上面提到的，红色"ROLE_"+role.name()

第二个： 就是不用@Secured（）注解，采用@PreAuthorize()：

 /**
  * Method Security Configuration.
  */
 @EnableGlobalMethodSecurity(prePostEnabled = true) //替换掉SecuredEnabled = true
 @Configuration
 public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

 }

上面的修改，将会实现AccessDecissionManager列表中AccessDecisionVoter，多出一个voter，即PreInvocationAuthorizationAdviceVoter.

并且修改函数上的注解：

     @RequestMapping(value = "/setting/username", method = RequestMethod.POST)
     @PreAuthorize("hasRole('ROOT')") //或则@PreAuthorize("hasAuthority('ROOT')")
     @ResponseBody
     public Map<String, String> userName(User user, @RequestParam(value = "username") String username){
         Map<String, String> modelMap = new HashMap<String, String>();
         System.out.println(username);    

         user.setUsername(username);
         userService.update(user);

         modelMap.put("status", "ok");
         return modelMap;
     }

这样的话，就可以正常实现函数级别的权限控制了。

是不是有点绕？反正这个问题折腾了我差不多一上午。。。。