Spring Security 中對于權(quán)限控制默認(rèn)已經(jīng)提供了很多了，但是，一個優(yōu)秀的框架必須具備良好的擴(kuò)展性，恰好，Spring Security 的擴(kuò)展性就非常棒，我們既可以使用 Spring Security 提供的方式做授權(quán)，也可以自定義授權(quán)邏輯。一句話，你想怎么玩都可以！

今天松哥來和大家介紹一下 Spring Security 中四種常見的權(quán)限控制方式。

表達(dá)式控制 URL 路徑權(quán)限 表達(dá)式控制方法權(quán)限 使用過濾注解 動態(tài)權(quán)限

四種方式，我們分別來看。

1.表達(dá)式控制 URL 路徑權(quán)限

首先我們來看第一種，就是通過表達(dá)式控制 URL 路徑權(quán)限，這種方式松哥在之前的文章中實(shí)際上和大家講過，這里我們再來稍微復(fù)習(xí)一下。

Spring Security 支持在 URL 和方法權(quán)限控制時使用 SpEL 表達(dá)式，如果表達(dá)式返回值為 true 則表示需要對應(yīng)的權(quán)限，否則表示不需要對應(yīng)的權(quán)限。提供表達(dá)式的類是 SecurityExpressionRoot：

可以看到，SecurityExpressionRoot 有兩個實(shí)現(xiàn)類，表示在應(yīng)對 URL 權(quán)限控制和應(yīng)對方法權(quán)限控制時，分別對 SpEL 所做的拓展，例如在基于 URL 路徑做權(quán)限控制時，增加了 hasIpAddress 選項(xiàng)。

我們來看下 SecurityExpressionRoot 類中定義的最基本的 SpEL 有哪些：

可以看到，這些都是該類對應(yīng)的表達(dá)式，這些表達(dá)式我來給大家稍微解釋下：

表達(dá)式 備注 hasRole 用戶具備某個角色即可訪問資源 hasAnyRole 用戶具備多個角色中的任意一個即可訪問資源 hasAuthority 類似于 hasRole hasAnyAuthority 類似于 hasAnyRole permitAll 統(tǒng)統(tǒng)允許訪問 denyAll 統(tǒng)統(tǒng)拒絕訪問 isAnonymous 判斷是否匿名用戶 isAuthenticated 判斷是否認(rèn)證成功 isRememberMe 判斷是否通過記住我登錄的 isFullyAuthenticated 判斷是否用戶名/密碼登錄的 principle 當(dāng)前用戶 authentication 從 SecurityContext 中提取出來的用戶對象

這是最基本的，在它的繼承類中，還有做一些拓展，我這個我就不重復(fù)介紹了。

如果是通過 URL 進(jìn)行權(quán)限控制，那么我們只需要按照如下方式配置即可：

protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers('/admin/**').hasRole('admin') .antMatchers('/user/**').hasAnyRole('admin', 'user') .anyRequest().authenticated() .and() ...}

這里表示訪問 /admin/** 格式的路徑需要 admin 角色，訪問 /user/** 格式的路徑需要 admin 或者 user 角色。

2.表達(dá)式控制方法權(quán)限

當(dāng)然，我們也可以通過在方法上添加注解來控制權(quán)限。

在方法上添加注解控制權(quán)限，需要我們首先開啟注解的使用，在 Spring Security 配置類上添加如下內(nèi)容：

@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)public class SecurityConfig extends WebSecurityConfigurerAdapter { ... ...}

這個配置開啟了三個注解，分別是：

@PreAuthorize：方法執(zhí)行前進(jìn)行權(quán)限檢查 @PostAuthorize：方法執(zhí)行后進(jìn)行權(quán)限檢查 @Secured：類似于 @PreAuthorize

這三個結(jié)合 SpEL 之后，用法非常靈活，這里和大家稍微分享幾個 Demo。

@Servicepublic class HelloService { @PreAuthorize('principal.username.equals(’javaboy’)') public String hello() { return 'hello'; } @PreAuthorize('hasRole(’admin’)') public String admin() { return 'admin'; } @Secured({'ROLE_user'}) public String user() { return 'user'; } @PreAuthorize('#age>98') public String getAge(Integer age) { return String.valueOf(age); }} 第一個 hello 方法，注解的約束是，只有當(dāng)前登錄用戶名為 javaboy 的用戶才可以訪問該方法。 第二個 admin 方法，表示訪問該方法的用戶必須具備 admin 角色。 第三個 user 方法，表示方法該方法的用戶必須具備 user 角色，但是注意 user 角色需要加上 ROLE_ 前綴。第四個 getAge 方法，表示訪問該方法的 age 參數(shù)必須大于 98，否則請求不予通過。

可以看到，這里的表達(dá)式還是非常豐富，如果想引用方法的參數(shù)，前面加上一個 # 即可，既可以引用基本類型的參數(shù)，也可以引用對象參數(shù)。

缺省對象除了 principal ，還有 authentication（參考第一小節(jié)）。

3.使用過濾注解

Spring Security 中還有兩個過濾函數(shù) @PreFilter 和 @PostFilter，可以根據(jù)給出的條件，自動移除集合中的元素。

@PostFilter('filterObject.lastIndexOf(’2’)!=-1')public List<String> getAllUser() { List<String> users = new ArrayList<>(); for (int i = 0; i < 10; i++) { users.add('javaboy:' + i); } return users;}@PreFilter(filterTarget = 'ages',value = 'filterObject%2==0')public void getAllAge(List<Integer> ages,List<String> users) { System.out.println('ages = ' + ages); System.out.println('users = ' + users);} 在 getAllUser 方法中，對集合進(jìn)行過濾，只返回后綴為 2 的元素，filterObject 表示要過濾的元素對象。 在 getAllAge 方法中，由于有兩個集合，因此使用 filterTarget 指定過濾對象。

4.動態(tài)權(quán)限

動態(tài)權(quán)限主要通過重寫攔截器和決策器來實(shí)現(xiàn)，這個我在 vhr 的文檔中有過詳細(xì)介紹，大家在公眾號【江南一點(diǎn)雨】后臺回復(fù) 888 可以獲取文檔，我就不再贅述了。

5.小結(jié)

好啦，今天就喝小伙伴們稍微聊了一下 Spring Security 中的授權(quán)問題，當(dāng)然這里還有很多細(xì)節(jié)，后面松哥再和大家一一細(xì)聊。

到此這篇關(guān)于詳解Spring Security 中的四種權(quán)限控制方式的文章就介紹到這了,更多相關(guān)Spring Security 權(quán)限控制內(nèi)容請搜索好吧啦網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持好吧啦網(wǎng)！