spingsecurity中haspermission用法以及配置自定义PermissionEvaluator

一、原理剖析

先看一段官方文档对haspermission的描述(文档链接:https://docs.spring.io/spring-security/site/docs/5.2.7.BUILD-SNAPSHOT/reference/htmlsingle/#el-permission-evaluator

开头的意思是haspermission的注解会委托给PermissionEvaluator接口,而这个接口默认实现是DenyAllPermissionEvaluator(源码如下) 这个类的两个方法直接返回了false,所以我们必须自己实现一个PermissionEvaluator 并且把它注入到默认DefaultWebSecurityExpressionHandler类中(注意与DefaultMethodSecurityExpressionHandler区分,这两个类都持有permissionEvaluator 应该一个是web环境一个是SE环境,我这里是web环境,故而是DefaultWebSecurityExpressionHandler类)

二、实现

大概理解需要做什么了,首先实现一个自己的PermissionEvaluator实现类,其次将它注入到DefaultMethodSecurityExpressionHandler中。

代码如下:

1、定义自己的MyPermissionEvaluator类实现PermissionEvaluator接口(注:@Sl4j 是日志门面,lombok插件提供的,不需要的可以不用,@Component 必须要,是表明 他是spring的bean 需要交给spring ioc 容器管理,方便后面使用自动注入)

2、接着定义一个配置类继承WebSecurityConfigurerAdapter,将自定义好的MyPermissionEvaluator类注入到DefaultWebSecurityExpressionHandler类中(下图红色圈出)即可

3、验证

验证成功

4、关于DefaultMethodSecurityExpressionHandler和DefaultWebSecurityExpressionHandler 下面的继承类图

 

 

 

 

  • 2
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security ,可以通过实现 PermissionEvaluator 接口来自定义权限验证逻辑。 首先,需要在配置文件开启自定义 PermissionEvaluator 的支持: ```xml <beans:bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> <beans:property name="permissionEvaluator" ref="customPermissionEvaluator" /> </beans:bean> <beans:bean id="customPermissionEvaluator" class="com.example.CustomPermissionEvaluator" /> ``` 接下来,实现 PermissionEvaluator 接口的 evaluate 方法: ```java public class CustomPermissionEvaluator implements PermissionEvaluator { @Override public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) { // 在此处编写自定义的权限验证逻辑 } @Override public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) { // 在此处编写自定义的权限验证逻辑 } } ``` 在 evaluate 方法,第一个参数 authentication 表示当前用户的认证信息,第二个参数 targetDomainObject 表示要验证的对象,第三个参数 permission 表示要验证的权限。 如果要验证的对象是一个实体类,可以使用 @PreAuthorize 或 @PostAuthorize 注解配合 SpEL 表达式来进行验证: ```java @PreAuthorize("hasPermission(#entity, 'read')") public void doSomething(Entity entity) { // ... } ``` 在 SpEL 表达式,可以使用 #parameterName 来引用方法参数,也可以使用 #returnObject 来引用方法返回值。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值