实现步骤

实现UserDetails，重写getAuthorities方法。

public class LoginUser implements UserDetails {/*** 角色集合*/private Set roles;@JSONField(serialize = false)private List authorities;@Overridepublic Collection getAuthorities() {if (Objects.nonNull(this.authorities)) {return this.authorities;}authorities = this.roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_" + role)).collect(Collectors.toList());return authorities;}...
}

在 SpringSecurity 的配置类上添加注解@EnableGlobalMethodSecurity。

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {...
}

在需要权限管理的方法上添加注解PreAuthorize，本文使用@hasRole在方法访问前进行角色校验。

@GetMapping("my_info")
@PreAuthorize("hasRole('admin')")
public Result getMyInfo() {User user = userService.getMyInfo();return Result.success(user);
}

流程分析

进行角色校验时，进入到SecurityExpressionRoot的hasAnyAuthorityName方法中。

使用getAuthoritySet方法获取当前身份验证信息的角色列表，主要代码如下。

if (this.roles == null) {Collection userAuthorities = this.authentication.getAuthorities();...// 遍历userAuthorities，通过 GrantedAuthority 的 getAuthority 获取角色字符串，并添加到 set 集合中this.roles = AuthorityUtils.authorityListToSet(userAuthorities);
}
return this.roles;

遍历@hasRole中的角色（本文中只有 admin），如果当前登录信息的角色列表roleSet包含该角色，则通过校验。
注意：校验时，会自动给 hasRole 中的角色添加默认前缀 ROLE_，所以在重写 getAuthorities 时需要添加上对应前缀

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇：国际调解院今日落户香港

下一篇：缓存穿透、缓存击穿、缓存雪崩

基于方法的权限管理实现

实现步骤

流程分析

相关内容

热门资讯