springboot 整合 security（四） 方法级别权限控制 @resource，@secured，@preAuthorize

在用户管理中，常常会有针对模块的权限控制，例如客户管理相关的功能只能管理员查看，管理员的操作权限只能给超级管理员等。更加精细的甚至涉及到某个接口，例如查询接口相对权限较宽松，增删改接口相对权限较严谨。

这个时候，就可以在用户登录后注入权限信息，再通过方法上的注解配置，来实现权限控制。

1，在我们的配置类上面加上开启权限控制的注解

里面有三种配置方式，只需开启一种就行，本文演示的是第三种，jsr250Enabled，使用区别在于方法上面的注解方式不一样。

@resource，@secured，@preAuthorize，使用方法大同小异

2，在登录后MyUserDetailsService里面注入权限信息

注意在设置权限的时候要在前面加上"ROLE_"，不然会不起效果

Set permissionSet = new HashSet();
//模拟数据库获得权限列表
if ("zx".equals(user.getUsername())) {
    permissionSet = new HashSet(){{add("000000");add("000001");add("000002");}};
}
if ("as".equals(user.getUsername())) {
    permissionSet = new HashSet(){{add("010000");add("010001");add("010002");}};
}
if ("qw".equals(user.getUsername())) {
    permissionSet = new HashSet(){{add("000000");add("000001");add("000002");add("010000");add("010001");add("010002");}};
}
//设置权限信息
userDetails.setAuthorities(new HashSet());
permissionSet.forEach(permission -> {
    userDetails.getAuthorities().add(new SimpleGrantedAuthority("ROLE_" + permission));
});

3，在方法上加入可允许的权限注解

管理员权限

用户权限

综合步骤2，我们可以看到，zx用户可以操作管理类里面的接口，as用户可以操作用户类里面的接口，qw用户则两个类里面的接口都可以操作。

接下来是测试环节。

我们登录zx用户

测试管理员接口，成功得到返回

测试用户接口，发现没能通过

此时已经可以做到方法级别的权限控制了，剩下的就是用户-角色，角色-权限的配置问题了。

还有，我们发现越权的返回结果不太友好，下面自定义一下越权的返回结果

package com.mu.security4.security.handle;

import com.alibaba.fastjson.JSON;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;


@Component
public class MyAuthenticationAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

        Map responseData = new HashMap<>();
        responseData.put("status", 8001);
        responseData.put("msg", "无权访问");
        httpServletResponse.setContentType("application/json;charset=utf-8");
        httpServletResponse.setStatus(200);
        httpServletResponse.getWriter().write(JSON.toJSonString(responseData));
    }
}

配置类先注入

再配置

本篇记录就到此结束了，如果本篇文章对您有所帮助可以点个赞，不胜感激。如果内容有不对的地方或者有侵犯权益的地方也欢迎留言联系我。

源码地址

security: springboot security 整合，简单实现

附参考博客

用户权限认证

Spring Security 403 自定义返回消息