SpringSecurity(3-security入门-方法授权的学习)

在前两节中我们都是对url请求路径的来进行授权（基于角色，基于资源），当然security2以后还提供了基于方法的授权可以在任何@Configuration实列上通过@EnableGlobalMethodSecurity(securedEnabled = true)注解来启动方法的授权，下面会介绍@Secured()，@PreAuthorize()方法主角授权的使用

一，@Secured()的使用：这个注解配置在方法上是基于角色的授权模式，也就是只有用户拥有指定角色才能访问指定资源

第一步：在配置类上加上@EnableGlobalMethodSecurity(securedEnabled = true)注解，然后注释掉之前访问路径的配置

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
public class webSecurityConfig extends WebSecurityConfigurerAdapter {
    //密码编译比对方式
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    //访问路径配置
    @Override
    protected void configure(HttpSecurity http) throws java.lang.Exception {
        //hasAuthority : 基于资源授权  hasRole:基于角色授权
        http
        .csrf().disable() //去除csrf攻击的配置，以便除get请求方式，其他请求方式也能访问接口
        .authorizeRequests()
//        .antMatchers("/auth/hello").hasAuthority("resource_1")  //给访问的地址加上资源权限限制，只有用户有这个资源访问权限时才能访问
//        .antMatchers("/auth/home").hasAuthority("resource_2")
//        .antMatchers("/auth/admin").hasAuthority("resource_3")

        .antMatchers("/test/health").permitAll()     //此路径不需要经过过认证，可以不登录直接请求；注意不要放在上面的代码之前不然上面代码会失效，带通配符的url顺序也要注意 如 auth/login  应该放在auth/**的前面，也就是范围越大的越在后面
        .anyRequest().authenticated()                             //除配置的/test/health路径其他请求都需要认证
        .and()
        .formLogin() //允许表单登陆
                .successForwardUrl("/sys/login") //自定义表单登陆成功后的跳转路径
        .and()
                .logout()
                .logoutUrl("/sys/logOut");

    }

    //基于内存的用户配置
//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws java.lang.Exception {
//        //创建三个用户到内存中，并给他们分配角色
//        auth.inMemoryAuthentication()
//                .withUser("zhangsan").password(this.passwordEncoder().encode("123456")).roles("GUEST");
//        auth.inMemoryAuthentication()
//                .withUser("lisi").password(this.passwordEncoder().encode("123456")).roles("USER");
//        auth.inMemoryAuthentication()
//                .withUser("wangwu").password(this.passwordEncoder().encode("123456")).roles("USER","ADMIN");
//    }
}

第二步：将用户授权改为角色授权（.roles(“ADMIN”)）

@Service
public class SpringDataUserDetailsServiceImpl implements UserDetailsService {
	
	private static Logger logger = Logger.getLogger(SpringDataUserDetailsServiceImpl.class);
	
	@Autowired
    private UserDao userDao;
	
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    	
    	logger.info("++进入SpringDataUserDetailsServiceImpl++ username = "+username);
    	UserDo u = new UserDo();
    	u.setUserName(username);

    	UserDo user = userDao.selectOne(new QueryWrapper<>(u));
    	logger.info("查询到的用户信息:"+user.toString());
        if(Objects.isNull(user)){
        	//没有查到用户交给provider来抛异常
        	return null;
        }
        UserDetails userDetails = User
							        .withUsername(user.getUserName())
							        .password(user.getPassword())
							       // .authorities("resource_1")
									.roles("ADMIN")
							        .build();
        logger.info("++退出SpringDataUserDetailsServiceImpl++");
        return userDetails;
    }
}

第三步：在授权通过后需要访问的资源上的方法上面加上@Secured()注解
注意：注解里面的参数：如果是角色授权那么参数需要以ROLE开头如：“ROLE_XXXX”

@GetMapping("/auth/home")
@ResponseBody
@Secured("ROLE_USER")
public String test2(){
    logger.info("+++++++++++++++++++++++++++++++请求成功TEST_USER+++++++++++++++++++++++++++++++++++");
    return "USER";
}
@GetMapping("/auth/admin")
@ResponseBody
@Secured("ROLE_ADMIN")
public String test3(){
    logger.info("+++++++++++++++++++++++++++++++请求成功TEST_ADMIN+++++++++++++++++++++++++++++++++++");
    return "ADMIN";
}

第五步：测试，用户登陆因为用户角色是写死的每个用户登陆都是ADMIN角色，那么，用户只能访问test3方法，而不能访问test2方法

@Secured的其他参数：

二， @PreAuthorize / @PostAuthorize的使用：这两个注解的功能是差不多的，只是区别在于@PreAuthorize是在执行方法之前进行权限或角色的校验，而@PostAuthorize是在方法执行玩之后在进行校验，也就是校验的时机不一样

第一步：配置类上配置开启注解@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true) 注意：记得配置prePostEnabled = true不然注解会不生效

@EnableWebSecurity
@Configuration
//@EnableGlobalMethodSecurity(securedEnabled = true)
@EnableGlobalMethodSecurity(securedEnabled = true,prePostEnabled = true)
public class webSecurityConfig extends WebSecurityConfigurerAdapter {
    //密码编译比对方式
    @Bean
    public BCryptPasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
    //访问路径配置
    @Override
    protected void configure(HttpSecurity http) throws java.lang.Exception {
        //hasAuthority : 基于资源授权  hasRole:基于角色授权
        http
        .csrf().disable() //去除csrf攻击的配置，以便除get请求方式，其他请求方式也能访问接口
        .authorizeRequests()
//        .antMatchers("/auth/hello").hasAuthority("resource_1")  //给访问的地址加上资源权限限制，只有用户有这个资源访问权限时才能访问
//        .antMatchers("/auth/home").hasAuthority("resource_2")
//        .antMatchers("/auth/admin").hasAuthority("resource_3")

        .antMatchers("/test/health").permitAll()     //此路径不需要经过过认证，可以不登录直接请求；注意不要放在上面的代码之前不然上面代码会失效，带通配符的url顺序也要注意 如 auth/login  应该放在auth/**的前面，也就是范围越大的越在后面
        .anyRequest().authenticated()                             //除配置的/test/health路径其他请求都需要认证
        .and()
        .formLogin() //允许表单登陆
                .successForwardUrl("/sys/login") //自定义表单登陆成功后的跳转路径
        .and()
                .logout()
                .logoutUrl("/sys/logOut");

    }

    //基于内存的用户配置
//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws java.lang.Exception {
//        //创建三个用户到内存中，并给他们分配角色
//        auth.inMemoryAuthentication()
//                .withUser("zhangsan").password(this.passwordEncoder().encode("123456")).roles("GUEST");
//        auth.inMemoryAuthentication()
//                .withUser("lisi").password(this.passwordEncoder().encode("123456")).roles("USER");
//        auth.inMemoryAuthentication()
//                .withUser("wangwu").password(this.passwordEncoder().encode("123456")).roles("USER","ADMIN");
//    }
}

第二步：接口配置注解

 	@GetMapping("/auth/hello")
    @ResponseBody
    //@Secured("ROLE_GUEST")
    //@PreAuthorize("isAnonymous()")
    public String test1(){
        logger.info("+++++++++++++++++++++++++++++++请求成功TEST_GUEST+++++++++++++++++++++++++++++++++++");
        return "GUEST";
    }
    @GetMapping("/auth/home")
    @ResponseBody
    //@Secured("ROLE_USER")
    @PreAuthorize("hasAuthority('resource_1')")  //拥有resource_1权限才能访问
    //@PreAuthorize("hasRole('USER')")  //@PreAuthorize基于角色的授权
    public String test2(){
        logger.info("+++++++++++++++++++++++++++++++请求成功TEST_USER+++++++++++++++++++++++++++++++++++");
        return "USER";
    }
    @GetMapping("/auth/admin")
    @ResponseBody
    //@Secured("ROLE_ADMIN")
    @PreAuthorize("hasAnyAuthority('resource_2','resource_3')") //拥有resource_2 或者 resource_3权限才能访问 
    //@PreAuthorize("hasAuthority('resource_2') and hasAuthority('resource_3')") //拥有resource_2 以及 resource_3权限才能访问
    //@PreAuthorize("hasRole('ADMIN')")  //@PreAuthorize基于角色的授权
    public String test3(){
        logger.info("+++++++++++++++++++++++++++++++请求成功TEST_ADMIN+++++++++++++++++++++++++++++++++++");
        return "ADMIN";
    }

test1方法不需要任何校验，test2方法需要有resource_1的权限，test3需要有resource_2和resource_3的权限