springboot集成springsecurity jwt实现

具体项目处于特殊原因这里不上传了，简单说下过程中遇到的问题，

问题一，jwt如何进行权限校验。

首先我们在网上搜到权限处理往往都是基于hasRole进行处理的，原则上是能处理，但是业务上不规范应当使用hasPermission因此我们这里注意（敲黑板）。使用hasPermission请自行实现

PermissionEvaluator

并将此类注入到springsecurity中

注入方式如下：

@Bean
    public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
        DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
        handler.setPermissionEvaluator(customPermissionEvaluator);
        return handler;
    }

// 注入自定义权限校验器
        http.authorizeRequests().expressionHandler(webSecurityExpressionHandler());

controller中实现如下：

    @PreAuthorize("hasPermission('test','permission1')")
    @RequestMapping(value = {"/home","/index"}, method = RequestMethod.GET)
    public String home(Model model) throws NotFoundException {
        return "index";
    }

问题二、HttpSecurity中的authorizeRequests() .anyRequest().authenticated()配了啥用

对于你没有显示写hasPermission的也会做拦截保护，很有必要。当然你也可以不写。影响不大

问题三、页面如何使用springsecurity标签

用过shiro的人对于shiro的标签用的很爽，此处对于security由于我们自定义了jwt模式并禁用了session因此需要做些特殊配置。

请注意（敲黑板）

使用前请参考https://github.com/thymeleaf/thymeleaf-extras-springsecurity确认你的以下jar包没有问题：

这里我标一下重点：

首先你需要确认你的thymeleaf的版本，

其次确认依赖项

以上基本包引入确定

第二步我们在页面头部加入

不用加版本号

第三步使用自定义权限（敲黑板）

    111111111111111
    

代码得这么写才能调用你的自定义权限

最后注入权限校验器（敲黑板）

 //解决静态资源被拦截的问题
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.expressionHandler(webSecurityExpressionHandler());
    }

这个地方不仅仅能处理静态资源，还能干这个。。。

以上为最近处理springsecurity的问题总结，非常感谢领导和同事的帮助。非常感谢。本人技术差如有不对还请指教谢谢！！