原創：一一哥

　　前言：

　　在前面的章節中，一一哥 已經給大家介紹了Spring Security的很多功能，在這些眾多功能中，我們知道其核心功能其實就是認證+授權。

　　在前面我們分別基于內存模型、基于默認的數據庫模型、基于自定義數據庫模型實現了認證和授權功能，但是不管哪種方式，我們對某個接口的攔截限制，都是通過編寫一個SecurityConfig配置類，在該類的configure (Http Security http)方法中，通過http. authorize Requests ( ). antMatchers ("/admin/**")...這樣的代碼進行的權限控制。

　　這種權限控制方法雖然也可以實現對某些接口的攔截或放行，但是不夠靈活，其實Spring Security對接口的攔截或放行的寫法，還有另外的方式，接下來請跟我學習一下吧!

　　一. 權限控制方式

　　在Spring Security 中，我們既可以使用 Spring Security 提供的默認方式進行授權，也可以進行自定義授權，總之在Spring Security中權限控制的實現方式是比較靈活多樣的。在Spring Security 中，對接口的攔截或放行，有四種常見的權限控制方式：

　　利用Ant表達式實現權限控制;

　　利用授權注解結合SpEl表達式實現權限控制;

　　利用過濾器注解實現權限控制;

　　利用動態權限實現權限控制。

　　對上面說到的四種權限控制方式，我們接下來分別進行講解實現。

　　二. 利用Ant表達式實現權限控制

　　利用Ant表達式的權限控制方式，是我們之前一直在使用的權限控制方式，在進行代碼實現之前，我先對這種方式的底層實現進行簡單分析。

　　1. Spring Security中的權限控制方法

　　在Spring Security中，有一個Security Expression Operations 接口，在該接口中定義了一系列的方法，用于用戶權限的設置，如下圖：

　　SecurityExpressionOperations接口中的

　　這些方法作用如下圖所示：

　　2. Spring Security中的權限控制粒度

　　這個接口有一個SecurityExpressionRoot子類，該類提供了基于表達式的權限控制實現方式。而這個SecurityExpressionRoot 又有兩個實現子類，分別用于實現 URL Web接口粒度的權限控制和方法粒度的權限控制，如下圖所示：

　　3. 代碼實現

　　從上面的小節中，我們知道在Spring Security中，支持2種粒度的權限控制，即URL Web接口粒度 和方法粒度，而我們這里所謂的 Ant表達式授權控制方式，就是通過Ant表達式來控制 URL 接口的訪問權限。

　　那么如果我們需要對URL接口粒度進行權限控制，按如下代碼即可實現：

　　@Override

　　protected void configure(HttpSecurity http) throws Exception {

　　http.authorizeRequests()

　　.antMatchers("/admin/**")

　　.hasRole("ADMIN")

　　.antMatchers("/user/**")

　　.hasRole("USER")

　　.antMatchers("/visitor/**")

　　.permitAll()

　　.anyRequest()

　　.authenticated()

　　.and()

　　.formLogin()

　　.permitAll()

　　.and()

　　//對跨域請求偽造進行防護---->csrf:利用用戶帶有登錄狀態的cookie進行攻擊的手段

　　.csrf()

　　.disable();

　　}

　　以上代碼中，/admin/ 格式的路徑需要 admin 角色才可以訪問，/user/ 格式的路徑需要 user 角色才可以訪問，/visitor/** 格式的路徑可以直接訪問，其他接口路徑則需要登錄后才能訪問。

　　三. 利用授權注解結合SpEl表達式實現權限控制

　　1. 授權注解

　　除了可以使用上面的Ant表達式進行授權實現，我們也可以在方法上添加授權注解來權限控制，常用的授權注解有3個：

　　@PreAuthorize：方法執行前進行權限檢查;

　　@PostAuthorize：方法執行后進行權限檢查;

　　@Secured：類似于 @PreAuthorize。

　　2. 代碼實現

　　要想利用以上3個授權注解進行權限控制，我們首先需要利用@EnableGlobalMethodSecurity注解開啟授權注解功能，代碼如下：

　　@Configuration

　　@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)

　　public class SecurityConfig extends WebSecurityConfigurerAdapter {

　　...

　　...

　　}

　　然后在具體的接口方法上利用授權注解進行權限控制，代碼如下：

　　@RestController

　　public class UserController {

　　@Secured({"ROLE_USER"})

　　//@PreAuthorize("principal.username.equals('user')")

　　@GetMapping("/user/hello")

　　public String helloUser() {

　　return "hello, user";

　　}

　　@PreAuthorize("hasRole('ADMIN')")

　　@GetMapping("/admin/hello")

　　public String helloAdmin() {

　　return "hello, admin";

　　}

　　@PreAuthorize("#age>100")

　　@GetMapping("/age")

　　public String getAge(@RequestParam("age") Integer age) {

　　return String.valueOf(age);

　　}

　　@GetMapping("/visitor/hello")

　　public String helloVisitor() {

　　return "hello, visitor";

　　}

　　}

　　可以看出，這種寫法明顯比利用Ant表達式進行權限控制更靈活方便，所以開發時這種寫法很常用。

　　四. 利用過濾器注解實現權限控制

　　1. 過濾器注解簡介

　　在Spring Security中還提供了另外的兩個注解，即@PreFilter和@PostFilter，這兩個注解可以對集合類型的參數或返回值進行過濾。使用@PreFilter和@PostFilter時，Spring Security將移除對應表達式結果為false的元素。

　　2. @PostFilter的用法

　　@PostFilter注解主要是用于對集合類型的返回值進行過濾，filterObject是@PostFilter中的一個內置表達式，表示集合中的元素對象。

　　@Slf4j

　　@RestController

　　public class FilterController {

　　/**

　　* 只返回結果中id為偶數的user元素。

　　* filterObject是@PreFilter和@PostFilter中的一個內置表達式，表示集合中的當前對象。

　　*/

　　@PostFilter("filterObject.id%2==0")

　　@GetMapping("/users")

　　public ListgetAllUser() {

　　Listusers = new ArrayList<>();

　　for (int i = 0; i < 10; i++) {

　　users.add(new User(i, "yyg-" + i));

　　}

　　return users;

　　}

　　}

　　我們啟動瀏覽器進行測試，可以看到測試接口中只返回了id為偶數的元素。

　　3. @PreFilter的用法

　　使用@PreFilter也可以對集合類型的參數進行過濾，當@PreFilter標注的方法內擁有多個集合類型的參數時，可以通過@PreFilter的filterTarget屬性來指定當前是針對哪個參數進行過濾的;而filterObject是@PreFilter中的一個內置表達式，表示集合中的元素對象。

　　為了方便測試，我們在Service層中進行過濾操作，然后在Controller層中進行調用。

　　FilterService類中的方法定義：

　　@Slf4j

　　@Service

　　public class FilterService {

　　/**

　　* 當@PreFilter標注的方法內擁有多個集合類型的參數時，

　　* 可以通過@PreFilter的filterTarget屬性來指定當前是針對哪個參數進行過濾的。

　　*/

　　@PreFilter(filterTarget = "ids", value = "filterObject%2==0")

　　public ListdoFilter(Listids, Listusers) {

　　log.warn("ids=" + ids.toString());

　　log.warn("users=" + users.toString());

　　return ids;

　　}

　　}

　　在Controller中定義一個測試接口：

　　@Slf4j

　　@RestController

　　public class FilterController {

　　/**

　　* 只返回結果中id為偶數的user元素。

　　* filterObject是@PreFilter和@PostFilter中的一個內置表達式，表示集合中的當前對象。

　　*/

　　@PostFilter("filterObject.id%2==0")

　　@GetMapping("/users")

　　public ListgetAllUser() {

　　Listusers = new ArrayList<>();

　　for (int i = 0; i < 10; i++) {

　　users.add(new User(i, "yyg-" + i));

　　}

　　return users;

　　}

　　@Autowired

　　private FilterService filterService;

　　@GetMapping("/users2")

　　public ListgetUserInfos() {

　　Listids = new ArrayList<>();

　　for (int i = 0; i < 10; i++) {

　　ids.add(i);

　　}

　　Listusers = new ArrayList<>();

　　for (int i = 0; i < 10; i++) {

　　users.add(new User(i, "yyg-" + i));

　　}

　　return filterService.doFilter(ids, users);

　　}

　　}

　　我們啟動瀏覽器進行測試，可以看到測試接口中只返回id為偶數的元素。

　　4. 代碼結構

　　下圖是上面案例的代碼結構，請參考實現：

　　五. 利用動態權限實現權限控制

　　我們知道一個標準的RABC, 權限系統需要支持動態配置，Spring Security默認是在代碼里約定好權限，真實的業務場景里通常需要可以支持動態配置角色訪問權限，即在運行時去配置url對應的訪問角色。

　　而Spring Security中的動態權限，主要是通過重寫攔截器和決策器來進行實現，最簡單的方法就是自定義一個Filter去完成權限判斷。其實這里涉及到的代碼，基本和Spring Security關系不大，主要是在傳統的Filter進行實現，我這里就不再進行描述了，感興趣的同學可以自行實現!

　　至此，我就給各位介紹了Spring Security中的4種進行權限控制的方式，各位可以結合自己的項目需求進行選擇。

掃碼關注公眾號【Java架構棧】，獲取全套專欄內容及代碼