【Spring Security】安全框架学习（十三）

6.1 自定义权限校验方法

我们也可以定义自己的权限校验方法，在@PreAuthorize注解中使用我们的方法。

我们可以发现直接在@PreAuthorize内写方法名就可以用默认提供的方法，那么怎么才能直接通过方法名调用自己对象的方法呢。实际上涉及到了SpEL表达式，这门语言相对比较冷门，只需要了解即可。

参考文档：SpEL——Spring表达式语言

我们首先要创建一个类，在类里面定义自己的方法，方法的定义格式参考security的格式就可以了。

为了获取我们当前用户的权限对象，我们在之前的 JwtAuthenticationTokenFilter 已经对它进行了封装。

一个请求过来之后一定会经过filter，我们在filter中进行权限校验等一系列的解析，在redis中获取到loginUser，然后封装成了UsernamePasswordAuthenticationToken的对象，我们最后把它存在了SecurityContextHolder中。

所以我们在自定义的方法中，可以直接从SecurityContextHolder获取到权限信息。当然我们也可以把获取权限的步骤封装成一个方法。

package expression;

//命别名
@Component("example")
public class ExampleExpressionRoot {
    
    public boolean hasAuthority(String authority) {
        //获取当前用户的权限
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication() ;
        LoginUser loginUser = (LoginUser)authentication.getPrincipal();
        //这里完全可以去获取我们自己定义的集合，而不用security提供的getauthorities
        List<String> permissions = loginUser.getPermissions();
        //判断用户权限集合中是否存在authority
        return permissions.contains(authority);
    }
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

我们定义完自己的实现类后，在控制层使用@PreAuthorize，这个时候因为我们定义的方法和框架自带的方法同名，现在使用的话，一定是使用框架的方法。这里我们就要用到SpEL表达式，去获取容器中的Bean。

@PreAuthorize("@example.hasAuthority('test')")
1

我们用**@+bean名字**的表达式相当于获取到容器的bean对象的名字，再在后面跟上bean内部的方法名即可调用对象的方法。虽然效果是和框架提供的方法差不多，但是当我们需要自定义其他的方法时会更方便。