当前位置：首页 > news >正文

Security方法注解权限控制过程及自定义权限表达式

news 2026/5/11 11:39:52

文章目录

- 使用内置的权限表达式
- - @PreAuthorize
  - PermissionEvaluator
- 自定义权限表达式
- - SysMethodSecurityExpressionHandler
  - - 源码流程
  - SysMethodSecurityExpressionRoot

使用内置的权限表达式

@PreAuthorize

这个用来判断超级管理员的话，还得在表达式上加上或

PermissionEvaluator

本来是想定义一个 PermissionEvaluator，但是发现，写表达式的时候，还得弄2个参数，@PreAuthorize(‘/admin/user/list’,‘user:list’)，有点麻烦

package com.zzhua.blog.config.security.auth;import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;import java.io.Serializable;// GlobalMethodSecurityConfiguration 在 afterSingletonsInstantiated 方法中,// 会去容器中寻找 PermissionEvaluator 的bean, 设置到 defaultMethodExpressionHandler 中,// 并且定义了一个 PreInvocationAuthorizationAdvice 的bean, 将刚刚的设置到 defaultMethodExpressionHandler 设置给了这个Advice,//// GlobalMethodSecurityConfiguration 并且定义了aop中的 methodSecurityInterceptor(),会去创建访问决策管理器,// 访问决策管理器会去添加投票器，里面会创建一个 PreInvocationAuthorizationAdviceVoter, 里面会传入上面定义的Advice,//// 所以接下来的流程看这个拦截器就行了，同时，也离不开 MethodSecurityMetadataSourceAdvisor 切面的支持 因此，方法鉴权就是基于Aop的实现,// 用法参考：SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证-https://juejin.cn/post/6844903974546456590#heading-4
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {@Overridepublic boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {return false;}@Overridepublic boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {return false;}
}

自定义权限表达式

（也可以采用若依的方法，自定义权限表达式，其实就是利用了el表达式，但是通过自定义权限表达式的过程，可以更加清楚security处理方法注解权限时的整个处理过程，我们也可以在这里扩展一些权限通配符匹配的功能）

SysMethodSecurityExpressionHandler

可参考：如何在 Spring Security 中自定义权限表达式

源码流程

此handler 将会被注入到 GlobalMethodSecurityConfiguration#setMethodSecurityExpressionHandler 作为 handler

GlobalMethodSecurityConfiguration 定义了一个 PreInvocationAuthorizationAdvice 的bean, 获取并设置了上面定义的 handler

GlobalMethodSecurityConfiguration 并且定义了aop中的 methodSecurityInterceptor()拦截器,会去创建访问决策管理器

访问决策管理器会去添加投票器（当然，不止这一种投票器），会创建一个 PreInvocationAuthorizationAdviceVoter, 里面会传入上面定义的Advice,

@EnableWebSecurity引入了一个 MethodSecurityMetadataSourceAdvisorRegistrar ,
它创建了 MethodSecurityMetadataSourceAdvisor 切面, 并且指定了上面的拦截器名字作为构造参数, 使用 MethodSecurityMetadataSource 的实现（实现也有多种，通过组合的方式）, 确定需要切入的bean（后面从方法中提取权限表达式，也是交给这个来实现）

所以后面的流程就是：

当一个请求来到切入的方法，就会被拦截器处理, MethodSecurityInterceptor 拦截器会拿到 AOP里面的 MethodInvocation,
然后它会根据方法中的注解, 提取出所需权限, 交给访问决策管理器, 访问决策管理器再交给投票器,
因此, 上面创建的投票器又会交给 advice, advice又交给handler处理, 也就是下面定义的这个handler处理,
handler再利用el表达式计算, el会需要一个rootObject, 具体方法可以定义在rootObject里面, 只需要返回布尔值即可

package com.zzhua.blog.config.security.auth;import org.aopalliance.intercept.MethodInvocation;
import org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler;
import org.springframework.security.access.expression.method.MethodSecurityExpressionHandler;
import org.springframework.security.access.expression.method.MethodSecurityExpressionOperations;
import org.springframework.security.authentication.AuthenticationTrustResolverImpl;
import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Component;/*可参考：如何在 Spring Security 中自定义权限表达式-https://juejin.cn/post/7119086250610409508此handler 将会被注入到 GlobalMethodSecurityConfiguration#setMethodSecurityExpressionHandler 作为 handlerGlobalMethodSecurityConfiguration 定义了一个 PreInvocationAuthorizationAdvice 的bean, 获取并设置了上面定义的 handlerGlobalMethodSecurityConfiguration 并且定义了aop中的 methodSecurityInterceptor()拦截器,会去创建访问决策管理器访问决策管理器会去添加投票器（当然，不止这一种投票器），会创建一个 PreInvocationAuthorizationAdviceVoter, 里面会传入上面定义的Advice,@EnableWebSecurity引入了一个 MethodSecurityMetadataSourceAdvisorRegistrar ,它创建了 MethodSecurityMetadataSourceAdvisor 切面, 并且指定了上面的拦截器名字作为构造参数,使用 MethodSecurityMetadataSource 的实现（实现也有多种，通过组合的方式）, 确定需要切入的bean（后面从方法中提取权限表达式，也是交给这个来实现）所以后面的流程就是：当一个请求来到切入的方法，就会被拦截器处理, MethodSecurityInterceptor 拦截器 会拿到 AOP里面的 MethodInvocation,然后它会根据方法中的注解, 提取出所需权限, 交给访问决策管理器, 访问决策管理器 再交给 投票器,因此, 上面创建的投票器 又会交给 advice, advice又交给handler处理, 也就是下面定义的这个handler处理,handler再利用el表达式计算, el会需要一个rootObject, 具体方法可以定义在rootObject里面, 只需要返回布尔值即可
*/
@Component
public class SysMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler implements MethodSecurityExpressionHandler {@Overrideprotected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication,MethodInvocation invocation) {// 换成自己的实现，其它的都照抄源码里面的（下面又多了可以很多自定义的东西了）SysMethodSecurityExpressionRoot root = new SysMethodSecurityExpressionRoot(authentication);root.setThis(invocation.getThis());root.setPermissionEvaluator(getPermissionEvaluator());root.setTrustResolver(new AuthenticationTrustResolverImpl());root.setRoleHierarchy(getRoleHierarchy());// root.setDefaultRolePrefix("ROLE_");return root;}}

SysMethodSecurityExpressionRoot

package com.zzhua.blog.config.security.auth;import com.zzhua.blog.config.constant.SysConstants;
import com.zzhua.blog.config.security.UserDetailDTO;
import com.zzhua.blog.util.SecurityUtil;
import org.springframework.security.access.expression.SecurityExpressionRoot;
import org.springframework.security.access.expression.method.MethodSecurityExpressionOperations;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;import java.util.Collection;
import java.util.List;
import java.util.Objects;
import java.util.stream.Collectors;class SysMethodSecurityExpressionRootextends SecurityExpressionRootimplements MethodSecurityExpressionOperations {private Object filterObject;private Object returnObject;private Object target;SysMethodSecurityExpressionRoot(Authentication a) {super(a);}/* 自定义鉴权方法 */public boolean isAuth(String permission) {UserDetailDTO userDetailDTO = SecurityUtil.getPrincipal();if (SysConstants.IS_ADMIN.equals(userDetailDTO.getIsAdmin())) {return true;} else {List<String> authories = getAuthories();for (String authory : authories) {if (Objects.equals(authory, permission)) {return true;}}}return false;}private List<String> getAuthories() {Collection<? extends GrantedAuthority> authorities = getAuthentication().getAuthorities();List<String> authoritys = authorities.stream().map(GrantedAuthority::getAuthority).collect(Collectors.toList());return authoritys;}public void setFilterObject(Object filterObject) {this.filterObject = filterObject;}public Object getFilterObject() {return filterObject;}public void setReturnObject(Object returnObject) {this.returnObject = returnObject;}public Object getReturnObject() {return returnObject;}void setThis(Object target) {this.target = target;}public Object getThis() {return target;}
}

Security方法注解权限控制过程及自定义权限表达式

文章目录

使用内置的权限表达式

@PreAuthorize

PermissionEvaluator

自定义权限表达式

SysMethodSecurityExpressionHandler

源码流程

SysMethodSecurityExpressionRoot

相关文章：

Security方法注解权限控制过程及自定义权限表达式

vue 省市县三级联动

ChatGPT实现编程语言转换

浅拷贝和深拷贝

进程地址空间与页表方面知识点（缺页中断及写时拷贝部分原理）

Photoshop如何使用滤镜之实例演示？

Flutter 组件抽取：日期（DatePicker）、时间（TimePicker）弹窗选择器【仿照】

基于opencv的YOLOV3对图片的目标检测

Mermaid流程图

国产！全志科技T507-H工业核心板（ 4核ARM Cortex-A5）规格书

java小记 2023-05-05

CentOS安装Nginx

CSS布局基础（CSS书写顺序导航栏写法常见问题）

打造卓越 QML 层级设计：从入门到精通

shell流程控制之条件判断练习

linux中TF启动卡制作：磁盘分区文件同步

【操作系统OS】学习笔记:第一章操作系统基础【哈工大李治军老师】

Linux C/C++ 网络编程中地址格式转换（inet_pton和inet_ntop函数）

庖丁解牛函数知识---C语言《2》

Git 使用教程：最详细、最正宗手把手教学（万字长文）

CTFshow F5杯逆向与隐写实战解析超详细

鸿蒙一气总论（四）

PacketStreamer传感器工作原理：深入解析BPF过滤机制

3步实现智能自动化：三月七小助手如何每天为你节省90分钟游戏时间？

芯片功能验证的范式革新：从约束随机到目标驱动的智能场景生成

TTS推理优化：低精度计算与硬件协同设计实践

蓝牙技术与FPGA实现：原理、优化与实践

双模型工作流架构解析：从原理到实践，构建高效AI应用

AIAgent服务降级总失效？用SITS2026定义的3类语义韧性指标重构你的容错策略

Acorn Archimedes 上的 PipeDream：打破软件常规，却也带来使用挑战的生产力套件