本篇內容主要講解“spring security中的權限控制是什么意思”，感興趣的朋友不妨來看看。本文介紹的方法操作簡單快捷，實用性強。下面就讓小編來帶大家學習“spring security中的權限控制是什么意思”吧!

創新互聯公司主要從事網站制作、做網站、網頁設計、企業做網站、公司建網站等業務。立足成都服務潁東,十多年網站建設經驗,價格優惠、服務專業,歡迎來電咨詢建站服務:13518219792

當我們在OAuth登陸后，獲取了登陸的令牌，使用該令牌，我們就有了訪問一些受OAuth保護的接口的能力。具體可以看本人的這兩篇博客OAuth3.0用戶名,密碼登錄解析 OAuth3.0通過token獲取受保護資源的解析

但現在我們要區分這些登陸人員的具體分工，哪些接口歸哪些登陸人員可以訪問，這就要用到了spring security中的權限控制。

首先我們需要有一個權限的對象

/** * 權限標識 */@Datapublic class SysPermission implements Serializable {   private static final long serialVersionUID = 280565233032255804L;   private Long id; //權限id   private String permission; //具體的權限   private String name; //權限名稱   private Date createTime;   private Date updateTime;}

對應于數據庫中的權限表

那么問題來了，我們要對權限進行管理需要什么樣的權限呢，當然我們需要權限管理權限，這是在系統一開始建立的時候保存進數據庫的

這四個權限并不是通過前端寫入的。

現在我們需要通過前端接口增加其他的權限就需要使用到這四個權限之一。

在這里我們給出一些權限的增刪改查的mybatis dao

@Mapperpublic interface SysPermissionDao {   @Options(useGeneratedKeys = true, keyProperty = "id")   @Insert("insert into sys_permission(permission, name, createTime, updateTime) values(#{permission}, #{name}, #{createTime}, #{createTime})")   int save(SysPermission sysPermission);   @Update("update sys_permission t set t.name = #{name}, t.permission = #{permission}, t.updateTime = #{updateTime} where t.id = #{id}")   int update(SysPermission sysPermission);   @Delete("delete from sys_permission where id = #{id}")   int delete(Long id);   @Select("select * from sys_permission t where t.id = #{id}")
   SysPermission findById(Long id);   @Select("select * from sys_permission t where t.permission = #{permission}")
   SysPermission findByPermission(String permission);   int count(Map<String, Object> params);   List<SysPermission> findData(Map<String, Object> params);}

現在我們要在Controller中增加一個新的權限

/** * 管理后臺添加權限 * 
 * @param sysPermission * @return */@LogAnnotation(module = LogModule.ADD_PERMISSION)@PreAuthorize("hasAuthority('back:permission:save')")@PostMapping("/permissions")public SysPermission save(@RequestBody SysPermission sysPermission) {   if (StringUtils.isBlank(sysPermission.getPermission())) {      throw new IllegalArgumentException("權限標識不能為空");   }   if (StringUtils.isBlank(sysPermission.getName())) {      throw new IllegalArgumentException("權限名不能為空");   }   sysPermissionService.save(sysPermission);   return sysPermission;}

我們可以看到這個標簽@PreAuthorize("hasAuthority('back:permission:save')")，首先我們是通過access_token令牌訪問的該接口，系統可以知道登陸的是哪一個用戶，以此看看該用戶是否有back:permission:save的訪問權限

我們來看看用戶角色

@Datapublic class SysRole implements Serializable {   private static final long serialVersionUID = -2054359538140713354L;   private Long id; //角色id   private String code; //角色編碼   private String name; //角色名稱   private Date createTime;   private Date updateTime;}

對應數據庫中的表結構如下

并給定一個管理員角色

該角色對應于哪些權限，這里可以看到是所有權限

而我們的用戶是哪個角色呢

我們可以看到這里有兩個用戶，他們都屬于管理員角色

如果我們現在用其中的一個用戶登陸，并獲取該用戶的信息如下

{

"code"  :    200  ,

"data"  : {

"access_token"  :    "aaf4cd90-497e-4c33-adde-b580ab0f0c65"  ,

"user"  : {

"accountNonExpired"  :    true  ,

"accountNonLocked"  :    true  ,

"authorities"  : [

{

"authority"  :    "back:menu:set2role"

},

{

"authority"  :    "mail:update"

},

{

"authority"  :    "back:permission:delete"

},

{

"authority"  :    "role:permission:byroleid"

},

{

"authority"  :    "back:menu:save"

},

{

"authority"  :    "back:menu:query"

},

{

"authority"  :    "ip:black:query"

},

{

"authority"  :    "ip:black:save"

},

{

"authority"  :    "file:del"

},

{

"authority"  :    "ip:black:delete"

},

{

"authority"  :    "mail:query"

},

{

"authority"  :    "back:user:query"

},

{

"authority"  :    "back:role:permission:set"

},

{

"authority"  :    "sms:query"

},

{

"authority"  :    "back:role:query"

},

{

"authority"  :    "back:permission:query"

},

{

"authority"  :    "back:user:role:set"

},

{

"authority"  :    "back:role:save"

},

{

"authority"  :    "log:query"

},

{

"authority"  :    "file:query"

},

{

"authority"  :    "back:menu:update"

},

{

"authority"  :    "back:role:update"

},

{

"authority"  :    "back:role:delete"

},

{

"authority"  :    "back:user:password"

},

{

"authority"  :    "ROLE_SUPER_ADMIN"

},

{

"authority"  :    "back:menu:delete"

},

{

"authority"  :    "back:user:update"

},

{

"authority"  :    "menu:byroleid"

},

{

"authority"  :    "mail:save"

},

{

"authority"  :    "user:role:byuid"

},

{

"authority"  :    "back:permission:save"

},

{

"authority"  :    "back:permission:update"

}

],

"createTime"  :    "2018-01-17T16:56:59.000+0800"  ,

"credentialsNonExpired"  :    true  ,

"enabled"  :    true  ,

"headImgUrl"  :    ""  ,

"id"  :    1  ,

"nickname"  :    "測試1"  ,

"password"  :    "$2a$10$QpeXBJpWYetNwfWEHnkvLeK0jS0P9R6V8QqCj37zeNGroqYvdvW.C"  ,

"permissions"  : [

"back:menu:set2role"  ,

"mail:update"  ,

"back:permission:delete"  ,

"role:permission:byroleid"  ,

"back:menu:save"  ,

"back:menu:query"  ,

"ip:black:query"  ,

"ip:black:save"  ,

"file:del"  ,

"ip:black:delete"  ,

"mail:query"  ,

"back:user:query"  ,

"back:role:permission:set"  ,

"sms:query"  ,

"back:role:query"  ,

"back:permission:query"  ,

"back:user:role:set"  ,

"back:role:save"  ,

"log:query"  ,

"file:query"  ,

"back:menu:update"  ,

"back:role:update"  ,

"back:role:delete"  ,

"back:user:password"  ,

"back:menu:delete"  ,

"back:user:update"  ,

"menu:byroleid"  ,

"mail:save"  ,

"user:role:byuid"  ,

"back:permission:save"  ,

"back:permission:update"

],

"phone"  :    ""  ,

"sex"  :    1  ,

"sysRoles"  : [

{

"code"  :    "SUPER_ADMIN"  ,

"createTime"  :    "2018-01-19T20:32:16.000+0800"  ,

"id"  :    1  ,

"name"  :    "超級管理員"  ,

"updateTime"  :    "2018-01-19T20:32:18.000+0800"

}

],

"type"  :    "APP"  ,

"updateTime"  :    "2018-01-17T16:57:01.000+0800"  ,

"username"  :    "admin"

}

},

"msg"  :    "操作成功"

}

通過返回的信息我們可以看到他的權限，跟  @PreAuthorize(  "hasAuthority('back:permission:save')")比對，我們知道登陸用戶擁有該權限。可以訪問該接口。

上面都是前菜，下面進入正題。

我們來看一下  @PreAuthorize  標簽的源碼，它位于org.springframework.security.access.prepost包下

/**
 * 用于指定將計算為的方法訪問控制表達式的批注
 * 決定是否允許方法調用。
 * * @author Luke Taylor * @since 3.0 */@Target({ ElementType.METHOD, ElementType.TYPE })@Retention(RetentionPolicy.RUNTIME)@Inherited@Documentedpublic @interface PreAuthorize {   /**    * @return 在執行這個受保護的方法前進行Spring EL表達式的解析    */   String value();}

這里有一個Spring EL表達式都解析，我們來看一下什么是Spring EL表達式

public class SpringELTest {public static void main(String[] args) {
        ExpressionParser parser = new SpelExpressionParser();        //解析字符串，該字符串具有一段代碼的味道        Expression expression = parser.parseExpression("'Hello World'.bytes.length");        int length = (int)expression.getValue();        System.out.println(length);    }
}

這個"'Hello World'.bytes.length"就是一段Spring EL表達式，雖然是一段字符串，但它有一段代碼的含義，可以被解析執行

運行結果

11

那么很明顯"hasAuthority('back:permission:save')"就是一段Spring EL表達式，它是可以被執行的。

要想使標簽@PreAuthorize生效，我們需要設置一下OAuth的資源服務設置

/** * 資源服務配置 */@EnableResourceServer@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)public class ResourceServerConfig extends ResourceServerConfigurerAdapter {   @Override   public void configure(HttpSecurity http) throws Exception {
      http.csrf().disable().exceptionHandling()
            .authenticationEntryPoint(
                  (request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED))
            .and().authorizeRequests().antMatchers(PermitAllUrl.permitAllUrl("/users-anon/**", "/sys/login","/wechat/**")).permitAll()
            .anyRequest().authenticated().and().httpBasic();   }   @Override   public void configure(ResourceServerSecurityConfigurer resource) throws Exception {      //這里把自定義異常加進去      resource.authenticationEntryPoint(new AuthExceptionEntryPoint())
            .accessDeniedHandler(new CustomAccessDeniedHandler());   }   @Bean   public BCryptPasswordEncoder bCryptPasswordEncoder() {      return new BCryptPasswordEncoder();   }

}

其中@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)就是打開@PreAuthorize進行攔截生效的標簽，當然一定要設置prePostEnabled = true。

既然"hasAuthority('back:permission:save')"是一段Spring EL表達式，那么hasAuthority()就一定是一個可以執行的方法，該方法位于SecurityExpressionRoot類下，該類位于org.springframework.security.access.expression包中。

Spring Security可用表達式對象的基類就是SecurityExpressionRoot，它支持很多的方法

表達式	描述
hasRole([role])	當前用戶是否擁有指定角色。
hasAnyRole([role1,role2])	多個角色是一個以逗號進行分隔的字符串。如果當前用戶擁有指定角色中的任意一個則返回true。
hasAuthority([auth])	等同于hasRole
hasAnyAuthority([auth2,auth3])	等同于hasAnyRole
Principle	代表當前用戶的principle對象
authentication	直接從SecurityContext獲取的當前Authentication對象
permitAll	總是返回true，表示允許所有的
denyAll	總是返回false，表示拒絕所有的
isAnonymous()	當前用戶是否是一個匿名用戶
isRememberMe()	表示當前用戶是否是通過Remember-Me自動登錄的
isAuthenticated()	表示當前用戶是否已經登錄認證成功了。
isFullyAuthenticated()	如果當前用戶既不是一個匿名用戶，同時又不是通過Remember-Me自動登錄的，則返回true。

我們具體看一下hasAuthority這個方法的實現，只有當這個方法返回的結果為true的時候，我們才能進一步訪問我們的接口代碼

這里面傳入的authority為"back:permission:save"

public final boolean hasAuthority(String authority) {   return hasAnyAuthority(authority);}

public final boolean hasAnyAuthority(String... authorities) {   return hasAnyAuthorityName(null, authorities);}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
   //獲取所有的用戶角色權限
   Set<String> roleSet = getAuthoritySet();   //由于我們這里傳入的roles只有"back:permission:save"
   //所以role即為"back:permission:save"，prefix則為null   for (String role : roles) {
      //defaultedRole依然為"back:permission:save"  String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
      //在權限集合中是否包含"back:permission:save"的該權限
      //根據我們之前登錄的返回信息，可以看到"authority": "back:permission:save"的存在
      //所以此處是可以通過權限驗證的。  if (roleSet.contains(defaultedRole)) {         return true;      }
   }   return false;}

private Set<String> getAuthoritySet() {
   //Set<String> roles是SecurityExpressionRoot的屬性   //我們可以看到它是從一系列用戶認證里面獲取到的權限集合   if (roles == null) {      roles = new HashSet<>();
      //authentication是SecurityExpressionRoot極為重要的一個屬性，它本身是一個接口
      //管理著用戶認證信息的各個方法      Collection<? extends GrantedAuthority> userAuthorities = authentication            .getAuthorities();      if (roleHierarchy != null) {
         userAuthorities = roleHierarchy               .getReachableGrantedAuthorities(userAuthorities);      }
            roles = AuthorityUtils.authorityListToSet(userAuthorities);   }   return roles;}

private static String getRoleWithDefaultPrefix(String defaultRolePrefix, String role) {   if (role == null) {      return role;   }
   //由于defaultRolePrefix為null，所以此處返回的就是"back:permission:save"
   if (defaultRolePrefix == null || defaultRolePrefix.length() == 0) {      return role;   }   if (role.startsWith(defaultRolePrefix)) {      return role;   }   return defaultRolePrefix + role;}

我們可以看一下AuthorityUtils.authorityListToSet()方法

public static Set<String> authorityListToSet(
      Collection<? extends GrantedAuthority> userAuthorities) {
   Set<String> set = new HashSet<>(userAuthorities.size());   //很明顯這里是把認證用戶的所有權限給轉化為Set集合   for (GrantedAuthority authority : userAuthorities) {
      set.add(authority.getAuthority());   }   return set;}

到此，相信大家對“spring security中的權限控制是什么意思”有了更深的了解，不妨來實際操作一番吧！這里是創新互聯網站，更多相關內容可以進入相關頻道進行查詢，關注我們，繼續學習！

名稱欄目：springsecurity中的權限控制是什么意思
瀏覽路徑：http://www.2m8n56k.cn/article28/ipcecp.html

成都網站建設公司_創新互聯，為您提供企業網站制作、關鍵詞優化、網站改版、標簽優化、商城網站、網站建設

廣告

聲明：本網站發布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯系客服。電話：028-86922220；郵箱：[email protected]。內容未經允許不得轉載，或轉載時需注明來源： 創新互聯