Spring Security 实战（使用Spring Boot项目演示）

Spring Security 的应用越来越广泛，它支持页面级别、API级别 以及方法级别的权限控制，可以说项目中的绝大部分场景都能适用。不管哪种级别的权限控制，都需要进行以下的步骤 （使用Spring Boot项目演示）：

1. 加入Spring Boot Security的依赖 (不需要版本号，因为Spring boot的parent pom里面就已经有版本号了)：
compile "org.springframework.boot:spring-boot-starter-security"

 

2. 启动类加注解

注意这里有个地雷，我不小心踩到过，如果你的Spring Boot版本比较低的话，切记要加上@ComponentScan注解，不然你会遇到绵绵不断的缺少各种依赖，能烦死。

@EnableGlobalMethodSecurity(prePostEnabled = true) 这个注解只是在你需要使用方法级别的权限认证的时候需要加的，否则可以不加。

 

3. 新加一个继承了WebSecurityConfigurerAdapter的配置类，这可以说是Spring Security的核心了，我们可以在这个类里面配置用户权限，过滤器，认证管理器，拦截路径等。

需要加上@Configuration注解和@EnableWebSecurity注解

 

3.1. 在SecurityConfig中配置用户角色权限：

可以直接在启动的时候直接hard-coding方式将用户角色初始化到内存中；

也可以通过DataSource从数据库抓取用户角色信息；

另外还可以通过解析request里面的username & password动态的给用户分配角色权限。

 

3.2. 在SecurityConfig中配置路径拦截

配置路径和访问权限可以参考Spring Security的官方文档，大致简单介绍一下：

这个配置方式有点类似构建模式，一步步去构建HttpSecurity对象。

authorizeRequests()这个表示获取URL注册对象，得到这个对象之后可以进行一些URL匹配操作

antMatchers() 这个表示使用Ant格式来匹配路径，也就意味着你可以使用Ant里面的通配符

hasRole() 很明显，有参数里面指定的角色才可以访问这个路径

access() 参数里面是一个Spring EL表达式，只有当表达式返回true才允许访问

anyRequest() 表示所有请求，类似AntMathchers(“/**”) 注意这个放到后面，如果放到前面，会覆盖掉前面指定的哪些具体路径

permitAll() 无条件让所有请求通过

denyAll() 无条件让所有请求不通过

@Override

public void configure(HttpSecurity http) throws Exception {

    http.csrf().disable().authorizeRequests()

            .antMatchers("/upteam/test/useraccess").hasRole("USER")

            .antMatchers("/upteam/test/aeminaccess").access("hasRole('ADMIN')")

            .anyRequest().permitAll();

    //.and().exceptionHandling().accessDeniedHandler(myHandleAccessDeniedException);

}

上面这个配置的意思是首先禁用csrf，然后如果访问useraccess API需要有USER权限，如果访问 adminaccess API需要有ADMIN权限，其他的一律让它们通过，不做判断。

 

4. 对应的页面，API或方法：

@RequestMapping(value = "/useraccess", method = RequestMethod.POST)

public String testUserAccess() {

    System.out.println("Comming in user access");

    return " ---- user access";

}



@RequestMapping(value = "/adminaccess", method = RequestMethod.POST)

public String testAdminAccess() {

    System.out.println("Comming in admin access");

    return " ---- admin access";

}

 

 

上面演示的这种适用于页面或API，因为是在配置里面通过路径去指定的，下面还要介绍一个方法级别的控制。

如果要加入方法级别的权限认证（当然，方法级别的也同样可以控制用户访问API，毕竟在Spring框架中 API是定义在方法上面的），那么：

1. 首先需要在启动类中加入@EnableGlobalMethodSecurity(prePostEnabled = true)这个注解。

2. 同样可以像上面介绍的那样在SecurityConfig里面去配置用户及用户的角色，当然更灵活的我们可以自己去定义适用于每个request的用户角色：

这是用户角色Bean，我自己定义它有一个hasRole方法，你也可以定义别的方法，只要到时候在方法上面的条件表达式能判断即可

public class UserAccess {



    public boolean hasRole(String role) {

        if ("Read".equalsIgnoreCase(role)) {

            return true;

        }

        return false;

    }

}

 

在上面那个SecurityConfig里面配置下这个用户角色的Bean，注意我这里将Bean的作用域定义成Request，也就是每个request过来都会创建一个新的Bean，而不是默认的单例Bean。这样我就可以根绝每个request带过来的信息初始化这个Bean 并为之授予相应的权限了。这里为了演示简单，我直接初始化的。

@Bean("userAccess")

@Scope(value = "request", proxyMode = ScopedProxyMode.TARGET_CLASS)

public UserAccess userAccessBean() {

    return new UserAccess();

}

 

另外，也可以加一个AccessDeniedHandler配置，自己定义当方法禁止访问时返回的消息：

@Component

public class MyHandleAccessDeniedException implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {

        httpServletResponse.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);

        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);

        httpServletResponse.getWriter().write("{\"error\": \"access_denied\", \"error_description\": \"" + e.getMessage() + "\"}");

    }

}

 

在SecurityConfig中配置一下这个AccessDeniedHandler才会起作用：

@Autowired

private AccessDeniedHandler myHandleAccessDeniedException;

@Override

public void configure(HttpSecurity http) throws Exception {

    http.csrf().disable().authorizeRequests()

            .antMatchers("/upteam/test/useraccess").hasRole("USER")

            .antMatchers("/upteam/test/aeminaccess").access("hasRole('ADMIN')")

            .anyRequest().permitAll()

    .and().exceptionHandling().accessDeniedHandler(myHandleAccessDeniedException);

}

 

3. 好了，接下来可以在方法上加入@PreAuthorize注解，里面定义一个表达式，只要结果返回true就可以访问这个方法，否则会走刚才定义的AccessDeniedHandle返回错误消息。

要先注入这个UserAccess Bean哦。

@Autowired

private UserAccess userAccess;



@PreAuthorize("@userAccess.hasRole('Read')")

@RequestMapping(value = "/readaccess", method = RequestMethod.POST)

public String testRead() {

    userAccess.hasRole("Read");

    System.out.println("Comming in read access");

    return " ---- read access";

}



@PreAuthorize("@userAccess.hasRole('Write')")

@RequestMapping(value = "/writeaccess", method = RequestMethod.POST)

public String testWrite() {

    System.out.println("Comming in write access");

    return " ---- write access";

}