基于方法调用的权限验证
根据前面的几个例子,发现Spring Security还是非常好用了。而有时候,可能需要这样的应用场景,在业务逻辑层,如果能对某些业务方法进行相关的权限验证就更好了,这样更好理解,并且更细粒度,因为我们能够管理哪些角色可以访问哪些方法中的业务,并且这样在业务开发时将会更加方法。比如在一个学生管理系统中,普通用户也就是普通学生能够查看相应的学生信息、成绩信息,也就是只能访问查询业务,而教务办可以添加学生信息和成绩信息,任课老师也可以修改或添加学生成绩信息,而只有管理员才有删除的权限。
既然有需求就一定会有供给的。Spring Security的设计者肯定也早已想到了这种应用场景,因此Spring Securiy提供了基于方法的权限解决方案。Spring Security这个解决方案的原理还是基于Spring的AOP原理,这也进一步彰显了Spring的DI和AOP的强大之处,虽然现在觉得并没有什么好新鲜的,但是这种简单的原理却给业务开发带来了近乎革命性的改变。Spring框架在加载时会创建相应的业务逻辑对象,并且进行封装成一个代理对象(AOP最终是为代理模式服务的,AOP是一种思想,代理模式是一种实现),当调用相应的业务方法时,就会进行前置检测、调用、后置检测、异常检测,在前置检测时,就可以在Spring Security上下文中提取用户信息,将用户信息与调用此方法所需要的角色权限进行策略性匹配。如果匹配成功就正常调用,如果不成功,则不调用并返回无权限。
下面的