溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

基于SpringSecurity的@PreAuthorize怎么實(shí)現(xiàn)自定義權(quán)限校驗(yàn)

發(fā)布時(shí)間:2023-03-31 14:25:16 來源:億速云 閱讀:178 作者:iii 欄目:開發(fā)技術(shù)

這篇文章主要介紹“基于SpringSecurity的@PreAuthorize怎么實(shí)現(xiàn)自定義權(quán)限校驗(yàn)”,在日常操作中,相信很多人在基于SpringSecurity的@PreAuthorize怎么實(shí)現(xiàn)自定義權(quán)限校驗(yàn)問題上存在疑惑,小編查閱了各式資料,整理出簡(jiǎn)單好用的操作方法,希望對(duì)大家解答”基于SpringSecurity的@PreAuthorize怎么實(shí)現(xiàn)自定義權(quán)限校驗(yàn)”的疑惑有所幫助!接下來,請(qǐng)跟著小編一起來學(xué)習(xí)吧!

一、前言

在我們一般的web系統(tǒng)中必不可少的就是權(quán)限的配置,也有經(jīng)典的RBAC權(quán)限模型,是基于角色的權(quán)限控制。這是目前最常被開發(fā)者使用也是相對(duì)易用、通用權(quán)限模型。當(dāng)然SpringSecurity已經(jīng)實(shí)現(xiàn)了權(quán)限的校驗(yàn),但是不夠靈活,我們可以自己寫一下校驗(yàn)條件,從而更加的靈活!

二、SpringSecurity的@PreAuthorize

@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
    return "hello";
}

我們進(jìn)去源碼方法中看看具體實(shí)現(xiàn),我們進(jìn)行模仿!

// 調(diào)用的方法
@Override
public final boolean hasAuthority(String authority) {
	return hasAnyAuthority(authority);
}

@Override
public final boolean hasAnyAuthority(String... authorities) {
	return hasAnyAuthorityName(null, authorities);
}

private boolean hasAnyAuthorityName(String prefix, String... roles) {
	Set<String> roleSet = getAuthoritySet();
	// 便利規(guī)則,看看是否有權(quán)限
	for (String role : roles) {
		String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
		if (roleSet.contains(defaultedRole)) {
			return true;
		}
	}
	return false;
}

三、權(quán)限校驗(yàn)判斷工具

@Component("pms")
public class PermissionService {

	/**
	 * 判斷接口是否有xxx:xxx權(quán)限
	 * @param permission 權(quán)限
	 * @return {boolean}
	 */
	public boolean hasPermission(String permission) {
		if (StrUtil.isBlank(permission)) {
			return false;
		}
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		if (authentication == null) {
			return false;
		}
		Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
		return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
				.anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
	}

}

四、controller使用

@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
    return R.ok(orderInService.queryPage(page, request));
}

參數(shù)說明:

主要是采用SpEL表達(dá)式語法,

@pms:是一個(gè)我們自己配置的spring容器起的別名,能夠正確的找到這個(gè)容器類;

hasPermission('order_get'):容器內(nèi)方法名稱和參數(shù)

到此,關(guān)于“基于SpringSecurity的@PreAuthorize怎么實(shí)現(xiàn)自定義權(quán)限校驗(yàn)”的學(xué)習(xí)就結(jié)束了,希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí),快去試試吧!若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí),請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站,小編會(huì)繼續(xù)努力為大家?guī)砀鄬?shí)用的文章!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI