0
点赞
收藏
分享

微信扫一扫

基于SpringSecurity的@PreAuthorize实现自定义权限校验方法

西曲风 2022-08-21 阅读 68
javaspringspringsecurity自定义ide前端开发


一、前言

在我们一般的web系统中必不可少的就是权限的配置,也有经典的​​RBAC权限模型​​​,是基于角色的权限控制。这是目前最常被开发者使用也是相对易用、通用权限模型。当然​​SpringSecurity​​已经实现了权限的校验,但是不够灵活,我们可以自己写一下校验条件,从而更加的灵活!

很多开源框架中也是用的比较多,小编看了一下若依是自己写了一个注解实现的,pig是使用​​@PreAuthorize​​来实现自己的校验方式,小编以pig框架的为例。

二、SpringSecurity的@PreAuthorize

@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
    return "hello";
}

我们进去源码方法中看看具体实现,我们进行模仿!

// 调用的方法
@Override
public final boolean hasAuthority(String authority) {
  return hasAnyAuthority(authority);
}

@Override
public final boolean hasAnyAuthority(String... authorities) {
  return hasAnyAuthorityName(null, authorities);
}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
  Set<String> roleSet = getAuthoritySet();
  // 便利规则,看看是否有权限
  for (String role : roles) {
    String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
    if (roleSet.contains(defaultedRole)) {
      return true;
    }
  }
  return false;
}

三、权限校验判断工具

@Component("pms")
public class PermissionService {

  /**
   * 判断接口是否有xxx:xxx权限
   * @param permission 权限
   * @return {boolean}
   */
  public boolean hasPermission(String permission) {
    if (StrUtil.isBlank(permission)) {
      return false;
    }
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    if (authentication == null) {
      return false;
    }
    Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
    return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
        .anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
  }

}

四、controller使用

@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
    return R.ok(orderInService.queryPage(page, request));
}

参数说明:

主要是采用​​SpEL表达式​​​语法,
​​​@pms​​​:是一个我们自己配置的spring容器起的别名,能够正确的找到这个容器类;
​​​hasPermission('order_get')​​:容器内方法名称和参数

五、总结

这样就完成了自定义校验,具体的校验可以自己在配置里进行修改,当然也可以自己写一个注解来进行自定义校验,可以参考若依的注解!

有缘人才可以看得到的哦!!!

​​点击访问!小编自己的网站,里面也是有很多好的文章哦!​​



举报

相关推荐

自定义校验

javahtml前端springspring boot云平台云计算

自定义注解实现参数校验

java开发语言后端

自定义注解实现业务校验

java开发语言后端

五、SpringSecurity Web权限方案(2)——自定义登录页面

前端

自定义注解实现RBAC权限校验,不再说你不会了

javaspring bootspring后端

自定义校验函数

java开发语言

自定义断言的实现方法

编码必备知识点测试开发那些事儿

SpringSecurity[03]:自定义账号验证

spring boot

SpringBoot自定义校验注解

spring bootjava后端

java自定义校验注解

spring自定义异常处理自定义注解Java后端开发
0 条评论