SpringSecurityOAuth2如何實現根據請求URI動態權限判斷

這篇文章主要講解了“SpringSecurityOAuth2如何實現根據請求URI動態權限判斷”，文中的講解內容簡單清晰，易于學習與理解，下面請大家跟著小編的思路慢慢深入，一起來研究和學習“SpringSecurityOAuth2如何實現根據請求URI動態權限判斷”吧！

一般我們通過@PreAuthorize("hasRole('ROLE_USER')") 注解，以及在HttpSecurity配置權限需求等來控制權限。在這里，我們基于請求的URI來控制訪問權限，并且可以使用注解來控制權限訪問。

新建一個資源項目，配置資源服務。 首先 自定義一個權限認證MySecurityAccessDecisionManager 繼承AccessDecisionManager接口，重寫 decide方法， 并且復制默認權限驗證AbstractAccessDecisionManager的剩余兩個方法（實現注解控制的重點）。用戶具有的權限在認證服務器中已經自定義了。

/**
 * @Description 自定義權限認證，獲取url判斷是否有權限
 * @Author wwz
 * @Date 2019/08/01
 * @Param
 * @Return
 */
@Component
public class MySecurityAccessDecisionManager implements AccessDecisionManager {

    private List<AccessDecisionVoter<? extends Object>> decisionVoters;

    @Override
    public void decide(Authentication authentication, Object object, Collection<ConfigAttribute> configAttributes) throws AccessDeniedException, InsufficientAuthenticationException {
        String requestUrl = ((FilterInvocation) object).getRequest().getMethod() + ((FilterInvocation) object).getRequest().getRequestURI();
//        System.out.println("requestUrl>>" + requestUrl);

        // 當前用戶所具有的權限
        Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
//        System.out.println("authorities=" + authorities);
        for (GrantedAuthority grantedAuthority : authorities) {
            if (grantedAuthority.getAuthority().equals(requestUrl)) {
                return;
            }
            if (grantedAuthority.getAuthority().equals("ROLE_ADMIN")) {
                return;
            }

        }
        throw new AccessDeniedException("無訪問權限");
    }

    /**
     * 復制默認方法，使得@PreAuthorize("hasRole('ROLE_ADMIN')") 可用
     */
    @Override
    public boolean supports(ConfigAttribute attribute) {
        for (AccessDecisionVoter voter : this.decisionVoters) {
            if (voter.supports(attribute)) {
                return true;
            }
        }
        return false;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        for (AccessDecisionVoter voter : this.decisionVoters) {
            if (!voter.supports(clazz)) {
                return false;
            }
        }
        return true;
    }
}

在資源服務配置的httpSecurity中重寫并注入：

/**
 * @Description 資源認證
 * @Author wwz
 * @Date 2019/08/01
 * @Param
 * @Return
 */
@Configuration
@EnableResourceServer
@EnableGlobalMethodSecurity(prePostEnabled = true)   // 啟用注解權限配置
public class MySecurityResourceServerConfig extends ResourceServerConfigurerAdapter {

    @Autowired
    private RedisConnectionFactory connectionFactory;

    @Bean
    public TokenStore tokenStore() {
        RedisTokenStore redis = new RedisTokenStore(connectionFactory);
        return redis;
    }

    @Resource
    private MyAccessDeniedHandler accessDeniedHandler; // 無權訪問處理器

    @Resource
    private MyTokenExceptionEntryPoint tokenExceptionEntryPoint; // token失效處理器

    @Resource
    private MySecurityAccessDecisionManager accessDecisionManager; //權限判斷

    @Override
    public void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .exceptionHandling().authenticationEntryPoint((request, response, authException) -> response.sendError(HttpServletResponse.SC_UNAUTHORIZED))
                .and()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 另外，如果不設置，那么在通過瀏覽器訪問被保護的任何資源時，每次是不同的SessionID，并且將每次請求的歷史都記錄在OAuth3Authentication的details的中
                .and()
                .authorizeRequests().antMatchers("/actuator/health").permitAll().anyRequest().authenticated()  // httpSecurity 放過健康檢查，其他都需要驗證  設置了.anyRequest().authenticated()才回進入自定義的權限判斷
                .and()
                .requestMatchers().antMatchers("/auth/**") // .requestMatchers().antMatchers(...) OAuth3設置對資源的保護如果是用 /**的話 會把上面的也攔截掉
                .and()
                .authorizeRequests()
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {       // 重寫做權限判斷
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setAccessDecisionManager(accessDecisionManager);      // 權限判斷
                        return o;
                    }
                })
                .and()
                .httpBasic();

        http.exceptionHandling().accessDeniedHandler(accessDeniedHandler);
    }

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.authenticationEntryPoint(tokenExceptionEntryPoint); // token失效處理器
        resources.resourceId("manager"); // 設置資源id  通過client的 resource_ids 來判斷是否具有資源權限  資源不存在會報Invalid token does not contain resource id (manager)
    }
}

在MySecurityAccessDecisionManager打斷點可以發現，全部請求都走這里進行權限判斷了，根據認證服務器中的權限組合，匹配uri的請求進行結合方法上的注解權限進行是否有權訪問判斷，原則是全過則過，否則無權。

感謝各位的閱讀，以上就是“SpringSecurityOAuth2如何實現根據請求URI動態權限判斷”的內容了，經過本文的學習后，相信大家對SpringSecurityOAuth2如何實現根據請求URI動態權限判斷這一問題有了更深刻的體會，具體使用情況還需要大家實踐驗證。這里是億速云，小編將為大家推送更多相關知識點的文章，歡迎關注！