後端基於方法的許可權控制–Spirng-Security

• 2019 年 10 月 3 日
• 筆記

後端基於方法的許可權控制–Spirng-Security
默認情況下, Spring Security 並不啟用方法級的安全管控. 啟用方法級的管控後, 可以針對不同的方法通過註解設置不同的訪問條件；Spring Security 支援三種方法級註解, 分別是 JSR-205/Secured 註解/prePostEnabled。

開啟方法級別註解

  <global-method-security secured-annotations="enabled" />    <global-method-security jsr250-annotations="enabled" />    <global-method-security pre-post-annotations="enabled" />  

//@Secured 註解  @EnableGlobalMethodSecurity(securedEnabled=true)  //JSR-205 註解  @EnableGlobalMethodSecurity(jsr250Enabled=true)  //@PreAuthorize 類型的註解(支援 Spring 表達式)  @EnableGlobalMethodSecurity(prePostEnabled=true)

開始方法級別的注釋使用

1. Secured
   只有滿足角色的用戶才能訪問被註解的方法, 否則將會拋出 AccessDenied 異常.

   @Secured("ROLE_TELLER","ROLE_ADMIN"), 該方法只允許 ROLE_TELLER 或 ROLE_ADMIN 角色的用戶訪問.
   @Secured("IS_AUTHENTICATED_ANONYMOUSLY"), 該方法允許匿名用戶訪問.

2. JSR-205

   @DenyAll註解, 拒絕所有的訪問
   @PermitAll 註解, 運行所有訪問
   @RolesAllowed({"USER","ADMIN"}), 該方法只允許有 ROLE_USER 或 ROLE_ADMIN 角色的用戶訪問.

3. PreAuthorize
   JSR-205 和 Secured 註解功能較弱, 不支援 Spring EL 表達式. 推薦使用 @PreAuthorize 類型的註解.

   @PreAuthorize 註解, 在方法調用之前, 基於表達式結果來限制方法的使用.
   @PostAuthorize 註解, 允許方法調用, 但是如果表達式結果為 false, 將拋出一個安全性異常.
   @PostFilter 註解, 允許方法調用, 但必要按照表達式來過濾方法的結果.
   @PreFilter 註解, 允許方法調用, 但必須在進入方法之前過來輸入值.

詳解PreAuthorize表達式

1. returnObject 保留名
   對於 @PostAuthorize 和 @PostFilter 註解, 可以在表達式中使用 returnObject 保留名, returnObject 代表著被註解方法的返回值, 我們可以使用 returnObject 保留名對註解方法的結果進行驗證.
   比如:

@PostAuthorize ("returnObject.owner == authentication.name")  public Book getBook();

@PostAuthorize 和 @PostFilter 本身在方法之後使用 ；本身使用場景不多

1. 表達式中的 # 號
   在表達式中, 可以使用 #argument123 的形式來代表註解方法中的參數 argument123.
   比如:

@PreAuthorize ("#book.owner == authentication.name")  public void deleteBook(Book book);

還有一種 #argument123 的寫法, 即使用 Spring Security @P註解來為方法參數起別名, 然後在 @PreAuthorize 等註解表達式中使用該別名. 不推薦這種寫法, 程式碼可讀性較差.

@PreAuthorize("#c.name == authentication.name")  public void doSomething(@P("c") Contact contact);

1. 內置表達式有: