6.1 自定义权限校验方法
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法。
我们可以发现直接在@PreAuthorize内写方法名就可以用默认提供的方法,那么怎么才能直接通过方法名调用自己对象的方法呢。实际上涉及到了SpEL表达式,这门语言相对比较冷门,只需要了解即可。
参考文档:SpEL——Spring表达式语言
我们首先要创建一个类,在类里面定义自己的方法,方法的定义格式参考security的格式就可以了。
为了获取我们当前用户的权限对象,我们在之前的 JwtAuthenticationTokenFilter 已经对它进行了封装。
一个请求过来之后一定会经过filter,我们在filter中进行权限校验等一系列的解析,在redis中获取到loginUser,然后封装成了UsernamePasswordAuthenticationToken的对象,我们最后把它存在了SecurityContextHolder中。
所以我们在自定义的方法中,可以直接从SecurityContextHolder获取到权限信息。当然我们也可以把获取权限的步骤封装成一个方法。
package expression;
//命别名
@Component("example")
public class ExampleExpressionRoot {
public boolean hasAuthority(String authority) {
//获取当前用户的权限
Authentication authentication = SecurityContextHolder.getContext().getAuthentication() ;
LoginUser loginUser = (LoginUser)authentication.getPrincipal();
//这里完全可以去获取我们自己定义的集合,而不用security提供的getauthorities
List<String> permissions = loginUser.getPermissions();
//判断用户权限集合中是否存在authority
return permissions.contains(authority);
}
}
我们定义完自己的实现类后,在控制层使用@PreAuthorize,这个时候因为我们定义的方法和框架自带的方法同名,现在使用的话,一定是使用框架的方法。这里我们就要用到SpEL表达式,去获取容器中的Bean。
@PreAuthorize("@example.hasAuthority('test')")
我们用**@+bean名字**的表达式相当于获取到容器的bean对象的名字,再在后面跟上bean内部的方法名即可调用对象的方法。虽然效果是和框架提供的方法差不多,但是当我们需要自定义其他的方法时会更方便。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
