我的书签
添加书签
移除书签方法级别的安全
我们在hello-world-test的基础上,我们新建了一个名为method-security的 Gradle 项目。
本项目用于演示方法级别的安全设置。
build.gradle
修改 build.gradle 文件,让我们的method-security项目成为一个新的项目。
修改内容也比较简单,修改项目名称及版本即可。
jar {baseName = 'method-security'version = '1.0.0'}
编写服务类
创建com.waylau.spring.boot.security.service包,用于放置服务类。创建了 UserService 接口。接口比较简单,主要是用于查询和删除:
public interface UserService {void removeUser(Long id);List<User> listUsers();}
UserServiceImpl 是 UserService 接口的实现,在内存里面模拟了 User 的存储库。
@Servicepublic class UserServiceImpl implements UserService {private static final Map<Long,User> userRepository = new ConcurrentHashMap<>();public UserServiceImpl(){userRepository.put(1L, new User(1L, "waylau", 30));userRepository.put(2L, new User(2L,"老卫", 29));userRepository.put(3L, new User(3L,"doufe", 109));}@Overridepublic void removeUser(Long id) {userRepository.remove(id);}@Overridepublic List<User> listUsers() {List<User> users = null;users = new ArrayList<User>(userRepository.values());return users;}}
控制器
在 UserController 中,增加了删除用户的方法:
@PreAuthorize("hasAuthority('ROLE_ADMIN')") // 指定角色权限才能操作方法@GetMapping(value = "delete/{id}")public ModelAndView delete(@PathVariable("id") Long id, Model model) {userService.removeUser(id);model.addAttribute("userList", userService.listUsers());model.addAttribute("title", "删除用户");return new ModelAndView("users/list", "userModel", model);}
其中,我们使用了 @PreAuthorize注解。
配置类
在配置类上,我们加上了一个注解 @EnableGlobalMethodSecurity :
@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true) // 启用方法安全设置public class SecurityConfig extends WebSecurityConfigurerAdapter {......}
注意:@EnableGlobalMethodSecurity 可以配置多个参数:
- prePostEnabled :决定 Spring Security 的前注解是否可用
@PreAuthorize、@PostAuthorize等 - secureEnabled : 决定是否Spring Security的保障注解
@Secured是否可用 - jsr250Enabled :决定 JSR-250 注解
@RolesAllowed等是否可用.
配置方式分别如下:
@EnableGlobalMethodSecurity(securedEnabled = true)public class MethodSecurityConfig {// ...}@EnableGlobalMethodSecurity(jsr250Enabled = true)public class MethodSecurityConfig {// ...}@EnableGlobalMethodSecurity(prePostEnabled = true)public class MethodSecurityConfig {// ...}
在同一个应用程序中,可以启用多个类型的注解,但是只应该设置一个注解对于行为类的接口或者类。如果将2个注解同事应用于某一特定方法,则只有其中一个将被应用。
@Secured
此注释是用来定义业务方法的安全配置属性的列表。您可以在需要安全角色/权限等的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。如果有人不具备要求的角色/权限但试图调用此方法,将会抛出 AccessDenied 异常。
@Secured 源于 Spring之前版本.它有一个局限就是不支持 Spring EL 表达式。可以看看下面的例子:
如果你想指定AND(和)这个条件,我的意思说deleteUser 方法只能被同时拥有ADMIN & DBA 。但是仅仅通过使用@Secured注解是无法实现的。
但是你可以使用Spring的新的注解@PreAuthorize/@PostAuthorize(支持Spring EL),使得实现上面的功能成为可能,而且无限制。
@PreAuthorize/@PostAuthorize
Spring的 @PreAuthorize/@PostAuthorize 注解更适合方法级的安全,也支持Spring EL 表达式语言,提供了基于表达式的访问控制。
- @PreAuthorize 注解:适合进入方法前的权限验证, @PreAuthorize 可以将登录用户的角色/权限参数传到方法中。
- @PostAuthorize 注解:使用并不多,在方法执行后再进行权限验证。
运行
运行项目,我们查看下最终的效果:
我们用“USER”角色权限可以查看用户列表,但如果想删除用户,则提示“访问拒绝”。
根据权限来显示或者隐藏操作
实际上,如果用户不具备某个操作的权限,那么那个操作按钮就不应该显示出来。我们可以使用sec:authorize属性能达到这个目的。
修改list.html 中的表格:
......<table class="table table-hover"><thead><tr><td>ID</td><td>Age</td><td>Name</td><td sec:authorize="hasRole('ADMIN')">Operation</td></tr></thead><tbody><tr th:if="${userModel.userList.size()} eq 0"><td colspan="3">没有用户信息!!</td></tr><tr th:each="user : ${userModel.userList}"><td th:text="${user.id}">1</td><td th:text="${user.age}">11</td><td th:text="${user.name}">waylau</a></td><td sec:authorize="hasRole('ADMIN')"><div ><a th:href="@{'/users/delete/' + ${user.id}}"><i class="fa fa-times" aria-hidden="true"></i></a></div></td></tr></tbody></table>......
我们使用了<td sec:authorize="hasRole('ADMIN')">这样,只要是具备“ADMIN”权限的用户就能看到删除操作列,否则就看不到那一列的删除操作。效果如下:
不具备“ADMIN”权限的用户:
具备“ADMIN”权限的用户:
