基于SpringSecurity的@PreAuthorize怎么实现自定义权限校验

在使用Spring Security进行权限校验时，我们经常使用`@PreAuthorize`注解来对方法进行权限控制。虽然Spring Security已经提供了很多内置的权限校验表达式，但有时我们需要根据具体业务需求实现自定义的权限校验逻辑。本文将介绍如何通过`@PreAuthorize`实现自定义权限校验。

1. 创建自定义权限校验注解

我们可以通过创建自定义注解来代替`@PreAuthorize`，以实现更加语义化、可读性更高的权限校验逻辑。首先，我们需要创建一个注解类，在该类上添加`@Retention(RetentionPolicy.RUNTIME)`和`@PreAuthorize`注解，用于指定注解的生命周期和权限校验逻辑。

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("hasRole('ROLE_USER')")
public @interface CustomPermission {
    String value();
}

在上述示例中，我们定义了一个名为`CustomPermission`的自定义注解，并指定了默认的权限校验逻辑为`hasRole('ROLE_USER')`。这意味着只有具有`ROLE_USER`角色的用户才能执行被注解的方法。

2. 实现自定义权限校验逻辑

接下来，我们需要在Spring Security的配置类中实现自定义权限校验逻辑。首先，我们需要创建一个实现了`PermissionEvaluator`接口的类，用于处理自定义权限校验逻辑。

@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        // 自定义的权限校验逻辑
        // ...
        return true;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        // 不支持基于ID的权限校验，直接返回false
        return false;
    }
}

在上述示例中，我们实现了`PermissionEvaluator`接口，并重写了其中的两个方法。方法`hasPermission(Authentication authentication, Object targetDomainObject, Object permission)`用于处理基于目标对象的权限校验逻辑，方法`hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission)`用于处理基于ID的权限校验逻辑。 在实现自定义权限校验逻辑的过程中，我们可以利用`Authentication`参数来获取当前用户的信息，例如用户名、角色等。我们还可以通过`targetDomainObject`参数来获取目标对象的信息，根据具体业务需求进行相应的权限校验逻辑，最终返回一个布尔值表示是否具有权限。

3. 使用自定义权限校验注解

一旦我们完成了自定义注解和权限校验逻辑的实现，就可以在方法上使用自定义权限校验注解了。只需将自定义注解添加到方法上，就可以实现对该方法的自定义权限校验。 例如，我们可以在一个控制器方法中使用`@CustomPermission`注解来指定该方法的权限校验逻辑。如下所示：

@RestController
public class UserController {

    @GetMapping("/users/{id}")
    @CustomPermission("viewUser")
    public User getUser(@PathVariable Long id) {
        // ...
    }
}

在上述示例中，我们在`getUser`方法上添加了`@CustomPermission("viewUser")`注解，表示只有具备`viewUser`权限的用户才能执行该方法。具体的权限校验逻辑将由我们在之前步骤中实现的`CustomPermissionEvaluator`类处理。

4. 总结

通过使用Spring Security的`@PreAuthorize`注解和自定义权限校验逻辑，我们可以灵活地实现各种自定义的权限控制。通过创建自定义注解、实现自定义的权限校验逻辑，并在方法上添加自定义注解，我们可以实现更加语义化、可读性更高的权限校验。这样，我们就能够根据实际业务需求灵活地控制方法的访问权限，确保系统的安全性和稳定性。