本文总结了使用Spring Security过程中遇到的问题。包括JWT权限校验应使用hasPermission并自行实现注入;HttpSecurity中authorizeRequests().anyRequest().authenticated()配置可拦截保护未显式写hasPermission的请求;页面使用Spring Security标签需做特殊配置,如确认jar包、页面头部添加代码等。
具体项目处于特殊原因这里不上传了,简单说下过程中遇到的问题,
问题一,jwt如何进行权限校验。
首先我们在网上搜到权限处理往往都是基于hasRole进行处理的,原则上是能处理,但是业务上不规范应当使用hasPermission因此我们这里注意(敲黑板)。使用hasPermission请自行实现
PermissionEvaluator
并将此类注入到springsecurity中
注入方式如下:
@Bean
public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
handler.setPermissionEvaluator(customPermissionEvaluator);
return handler;
}// 注入自定义权限校验器
http.authorizeRequests().expressionHandler(webSecurityExpressionHandler());controller中实现如下:
@PreAuthorize("hasPermission('test','permission1')")
@RequestMapping(value = {"/home","/index"}, method = RequestMethod.GET)
public String home(Model model) throws NotFoundException {
return "index";
}问题二、HttpSecurity中的authorizeRequests() .anyRequest().authenticated()配了啥用
对于你没有显示写hasPermission的也会做拦截保护,很有必要。当然你也可以不写。影响不大
问题三、页面如何使用springsecurity标签
用过shiro的人对于shiro的标签用的很爽,此处对于security由于我们自定义了jwt模式并禁用了session因此需要做些特殊配置。
请注意(敲黑板)
使用前请参考https://github.com/thymeleaf/thymeleaf-extras-springsecurity确认你的以下jar包没有问题:
这里我标一下重点:
首先你需要确认你的thymeleaf的版本,
其次确认依赖项
以上基本包引入确定
第二步我们在页面头部加入
不用加版本号
第三步使用自定义权限(敲黑板)
<span sec:authorize= "${hasPermission('test','22')} ">
111111111111111
</span>代码得这么写才能调用你的自定义权限
最后注入权限校验器(敲黑板)
//解决静态资源被拦截的问题
@Override
public void configure(WebSecurity web) throws Exception {
web.expressionHandler(webSecurityExpressionHandler());
}这个地方不仅仅能处理静态资源,还能干这个。。。
以上为最近处理springsecurity的问题总结,非常感谢领导和同事的帮助。非常感谢。本人技术差如有不对还请指教谢谢!!
扫一扫
1141
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
