基於SpringSecurity的@PreAuthorize實現自定義權限校驗方法
- 2022 年 8 月 23 日
- 筆記
- springboot
一、前言
在我們一般的web系統中必不可少的就是權限的配置,也有經典的RBAC權限模型,是基於角色的權限控制。這是目前最常被開發者使用也是相對易用、通用權限模型。當然SpringSecurity已經實現了權限的校驗,但是不夠靈活,我們可以自己寫一下校驗條件,從而更加的靈活!
很多開源框架中也是用的比較多,小編看了一下若依是自己寫了一個註解實現的,pig是使用@PreAuthorize來實現自己的校驗方式,小編以pig框架的為例。
二、SpringSecurity的@PreAuthorize
@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
return "hello";
}
我們進去源碼方法中看看具體實現,我們進行模仿!
// 調用的方法
@Override
public final boolean hasAuthority(String authority) {
return hasAnyAuthority(authority);
}
@Override
public final boolean hasAnyAuthority(String... authorities) {
return hasAnyAuthorityName(null, authorities);
}
private boolean hasAnyAuthorityName(String prefix, String... roles) {
Set<String> roleSet = getAuthoritySet();
// 便利規則,看看是否有權限
for (String role : roles) {
String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
if (roleSet.contains(defaultedRole)) {
return true;
}
}
return false;
}
三、權限校驗判斷工具
@Component("pms")
public class PermissionService {
/**
* 判斷接口是否有xxx:xxx權限
* @param permission 權限
* @return {boolean}
*/
public boolean hasPermission(String permission) {
if (StrUtil.isBlank(permission)) {
return false;
}
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication == null) {
return false;
}
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
.anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
}
}
四、controller使用
@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
return R.ok(orderInService.queryPage(page, request));
}
參數說明:
主要是採用SpEL表達式語法,
@pms:是一個我們自己配置的spring容器起的別名,能夠正確的找到這個容器類;
hasPermission('order_get'):容器內方法名稱和參數
五、總結
這樣就完成了自定義校驗,具體的校驗可以自己在配置里進行修改,當然也可以自己寫一個註解來進行自定義校驗,可以參考若依的註解!
有緣人才可以看得到的哦!!!
