一、前言
在我們一般的web系統中必不可少的就是權限的配置,也有經典的RBAC權限模型,是基于角色的權限控制,這是目前最常被開發者使用也是相對易用、通用權限模型,當然SpringSecurity已經實作了權限的校驗,但是不夠靈活,我們可以自己寫一下校驗條件,從而更加的靈活!
很多開源框架中也是用的比較多,小編看了一下若依是自己寫了一個注解實作的,pig是使用@PreAuthorize來實作自己的校驗方式,小編以pig框架的為例,
二、SpringSecurity的@PreAuthorize
@PreAuthorize("hasAuthority('system:dept:list')")
@GetMapping("/hello")
public String hello (){
return "hello";
}
我們進去原始碼方法中看看具體實作,我們進行模仿!
// 呼叫的方法
@Override
public final boolean hasAuthority(String authority) {
return hasAnyAuthority(authority);
}
@Override
public final boolean hasAnyAuthority(String... authorities) {
return hasAnyAuthorityName(null, authorities);
}
private boolean hasAnyAuthorityName(String prefix, String... roles) {
Set<String> roleSet = getAuthoritySet();
// 便利規則,看看是否有權限
for (String role : roles) {
String defaultedRole = getRoleWithDefaultPrefix(prefix, role);
if (roleSet.contains(defaultedRole)) {
return true;
}
}
return false;
}
三、權限校驗判斷工具
@Component("pms")
public class PermissionService {
/**
* 判斷介面是否有xxx:xxx權限
* @param permission 權限
* @return {boolean}
*/
public boolean hasPermission(String permission) {
if (StrUtil.isBlank(permission)) {
return false;
}
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication == null) {
return false;
}
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
return authorities.stream().map(GrantedAuthority::getAuthority).filter(StringUtils::hasText)
.anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
}
}
四、controller使用
@GetMapping("/page" )
@PreAuthorize("@pms.hasPermission('order_get')" )
public R getOrderInPage(Page page, OrderInRequest request) {
return R.ok(orderInService.queryPage(page, request));
}
引數說明:
主要是采用SpEL運算式語法,
@pms:是一個我們自己配置的spring容器起的別名,能夠正確的找到這個容器類;
hasPermission('order_get'):容器內方法名稱和引數
五、總結
這樣就完成了自定義校驗,具體的校驗可以自己在配置里進行修改,當然也可以自己寫一個注解來進行自定義校驗,可以參考若依的注解!
有緣人才可以看得到的哦!!!
點擊訪問!小編自己的網站,里面也是有很多好的文章哦!
?
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/502519.html
標籤:其他
下一篇:三種反射得到物件的方法