授权

认证

身份认证，就是判断一个一个用户是否为合法用户的处理过程。Spring Security中支持所中不同方式的认证。

授权

授权，即访问控制，控制水能访问那些资源。提前设计好系统权限规则，给认证的用户分配某一个资源的权限，用户根据自己所具有的权限，去执行相应的操作。

用户在认证成功之后会将当前登陆用户信息保存到Authentication对象中，Authentication对象中有一个getAuthorities()方法，用来返回当前登陆用户具备的权限信息，当需要进行权限判断时，就会根据集合返回权限信息调用相应方法进行判断。

我们针对授权可以是“基于角色权限管理”和“基于资源权限管理”，从设计层面上来说，角色和权限是两个完全不同的东西

权限是一些具体的操作，角色则是某些权限的集合。

• 基于角色权限设计：用户-角色-资源，返回的就是用户的角色

• 基于资源权限设计就是：用户-权限-资源三者关系，返回就是用户的权限。

• 基于角色和资源权限设计就是：用户-角色-权限-资源，返回统称为权限。

在Spring Security中，角色和权限处理方式基本上是一致的。唯一区别就是会自动给角色添加ROLE_前缀，而权限则不会自动添加。

权限管理策略

SpringSecurity中为我们提供了两种权限管理策略：

• 基于过滤器的权限管理(FilterSecurityInterceptor)：基于过滤器的权限管理主要是用来拦截HTTP请求，拦截下来之后，根据HTTP请求地址进行权限校验。

• 基于AOP的权限管理(MethodSecurityInterceptor)：基于AOP权限管理主要是用来处理方法级别的权限问题。放需要调用某一个方法时，通过AOP将操作拦截下来，然后判断用户是否具备相关权限。

方法	说明
hasAuthority(String authority)	当前用户是否具备指定权限
hasAnyAuthority(String... authorities)	当前用户是否具备指定权限中的任意一个
hasRole(String role)	当前用户是否具备指定角色
hasAnyRole(String... roles)	当前用户是否具备指定角色中的任意一个
permitAll()	放行所有请求
denyAll()	拒绝所有请求
isAnonymous()	当前用户是否是一个匿名用户
isAuthenticated	当前用户是否已经认证成功
isRememberMe()	当前用户是否通过Remember-Me自动登陆
getAuthorities	当前用户是否既不是匿名用户也不同通过Remember-Me自动登陆
hasPermission(Object target, Object permission)	当前用户是否具备指定目标的指定权限信息
hasPermission(Object targetId, String targetType, Object permission)	当前用户是否具备指定目标的制定权限信息

基于请求的授权

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
    httpSecurity.authorizeHttpRequests(authorizeHttpRequests ->
            authorizeHttpRequests
                    .requestMatchers("/admin/role/**").hasRole("ADMIN") // admin/role/** 路径下的请求，需要 ADMIN 角色
                    .requestMatchers("/admin/auth/**").hasAnyAuthority("ADMIN:API")// admin/auth/** 路径下的请求，需要 ADMIN:API 权限
                    .requestMatchers("/user/role/**").hasRole("USER")    // user/role/** 路径下的请求，需要 USER 角色
                    .requestMatchers("/user/auth/**").hasAuthority("USER:API")   // user/auth/** 路径下的请求，需要 USER:API 权限
                    .requestMatchers("/login", "/welcome").permitAll()  // 所有用户都可以访问
                    .anyRequest().authenticated()
    );
    httpSecurity.formLogin(formLogin -> formLogin.loginPage("/login")
            .defaultSuccessUrl("/welcome"));
    httpSecurity.csrf(AbstractHttpConfigurer::disable).cors(withDefaults());
    return httpSecurity.build();
}
/**
 * 配置用户信息服务
 */
@Bean
public UserDetailsService userDetailsService() {
    InMemoryUserDetailsManager inMemoryUserDetailsManager = new InMemoryUserDetailsManager();
    UserDetails user1 = User.withUsername("admin").password("{noop}123").roles("ADMIN").authorities("ADMIN:API").build();
    UserDetails user2 = User.withUsername("user").password("{noop}123").roles("USER").authorities("USER:API").build();
    inMemoryUserDetailsManager.createUser(user1);
    inMemoryUserDetailsManager.createUser(user2);
    return inMemoryUserDetailsManager;
}

基于方法注解的鉴权

在Spring Security6版本中@EnableGlobalSecurity被弃用，取而代之的是@EnableMethedSecurity，默认情况下，会激活pre-post注解，并在内部使用AuthorizationManager。

• PostAuthorize

/**
 * PostAuthorize  注解的作用是在方法执行后再进行权限验证，这样可以拿到方法的返回值，然后再进行权限验证
 * returnObject 表示方法的返回值
 *
 * @param id 用户id
 * @return String
 */
@PostAuthorize("returnObject.startsWith('Rol1e')")
@GetMapping("/stu/role1/{id}")
public String stuAuth1(@PathVariable("id") String id) {
    return "Role Hello student!, id=" + id;
}

• PostFilter

/**
 * PostFilter 注解的作用是在方法执行后再进行权限验证，这样可以拿到方法的返回值，然后可以对返回值进行过滤，然后再进行权限验证
 * 例如：下面的例子中，只有返回值的长度大于2的才能访问
 * @return String
 */
@PostFilter("filterObject.length() > 2")
@GetMapping("/stu/role2/{id}")
public List<String> stuAuth2() {
    List<String> list = new ArrayList<>();
    list.add("张三");
    list.add("李四");
    list.add("王五");
    list.add("赵小名");
    return list;
}

• PostAuthorize:

/**
 * PostAuthorize  注解的作用是在方法执行后再进行权限验证，这样可以拿到方法的返回值，然后再进行权限验证
 * returnObject 表示方法的返回值
 *
 * @param id 用户id
 * @return String
 */
@PostAuthorize("returnObject.startsWith('Role')")
@GetMapping("/stu/role1/{id}")
public String stuAuth1(@PathVariable("id") String id) {
    return "Role Hello student!, id=" + id;
}

• PreFilter

/**
 * PreFilter 注解的作用是在方法执行前进行权限验证，这样可以拿到方法的参数，然后再进行权限验证
 * 例如：下面的例子中，只有参数的长度大于2的才能访问， filterTarget 表示过滤的目标，这里是id
 *
 * @param id 用户id
 * @return String
 */
@PreFilter(value = "filterObject.length() > 2", filterTarget = "id")
@PostMapping("/stu/role3/{id}")
public List<String> stuAuth3(@RequestBody List<String> id) {
    List<String> list = new ArrayList<>();
    list.add("张三");
    list.add("李四");
    list.add("王五");
    list.add("赵小名");
    return list;
}

动态权限