BaseController Spring Security @PreAuthorize
前言
公司想把基本的CRUD接口抽取到 BaseController ,因每个 Controller 的 Spring Security 的@PreAuthorize注解的权限字符串不同,所以不能使用这个,只能另寻他法
个人不太喜欢这种抽取
控制器中的接口类型枚举
public enum ApiInterfaceType {
/**
* 新增
*/
ADD,
/**
* 更新
*/
UPDATE,
/**
* 删除
*/
DELETE,
}
自定义动态权限注解
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DynamicPreAuthorize {
ApiInterfaceType interfaceType();
}
BaseController 的 公共方法加上注解
@DynamicPreAuthorize(interfaceType = ApiInterfaceType.ADD)
@PostMapping("/add")
public Boolean add(@RequestBody @Validated T entity) {
return baseService.save(entity);
}
定义用于在控制器类上指定接口类型和对应的权限的注解
@Target(ElementType.TYPE)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface ControllerPermissions {
PermissionMapping[] value();
}
@Retention(RetentionPolicy.RUNTIME)
public @interface PermissionMapping {
ApiInterfaceType interfaceType();
String[] permissions();
}
在继承 BaseController 的 UserController 中加上权限映射注解
@ControllerPermissions({
@PermissionMapping(interfaceType = ADD, permissions = {"user_admin", "user_edit"})
})
@RequestMapping("/user")
@RestController
public class UserController extends RestBaseController<User> {
。。。
}
定义 DynamicPreAuthorize 注解的AOP
@Slf4j
@Aspect
@Component
public class DynamicPreAuthorizeAspect {
@Around("@annotation(dynamicPreAuthorize)")
public Object checkSecurity(ProceedingJoinPoint joinPoint, DynamicPreAuthorize dynamicPreAuthorize) throws Throwable {
ApiInterfaceType interfaceType = dynamicPreAuthorize.interfaceType();
// 获取控制器类上的注解
Class<?> targetClass = joinPoint.getTarget().getClass();
ControllerPermissions controllerPermissions = targetClass.getAnnotation(ControllerPermissions.class);
if (Objects.isNull(controllerPermissions)) {
log.warn("权限配置警告: 控制器 [{}] 尚未定义接口权限映射。请确保已经通过使用 @ControllerPermissions 注解对所需的接口类型指定了相应的权限字符串。", targetClass.getName());
}
if (Objects.nonNull(controllerPermissions)) {
final List<PermissionMapping> mappings = Arrays.stream(controllerPermissions.value())
.filter(mapping -> mapping.interfaceType() == interfaceType)
.toList();
// 获取当前用户的身份验证信息
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
mappings.forEach(mapping -> {
final String[] permissions = mapping.permissions();
for (String requiredPermission : permissions) {
// 根据权限字符串检查权限
if (!authentication.getAuthorities().contains(new SimpleGrantedAuthority(requiredPermission))) {
// 用户没有所需的权限,抛出访问拒绝的异常
throw new AccessDeniedException("Access is denied" + requiredPermission);
}
}
});
}
return joinPoint.proceed();
}
}
还可以 检查是否定义权限映射注解
@Slf4j
@Component
public class ControllerPermissionChecker implements BeanPostProcessor {
@Override
public Object postProcessBeforeInitialization(Object bean, @Nullable String beanName) throws BeansException {
// 检查控制器是否设置了@ControllerPermissions
ControllerPermissions controllerPermissions =
AnnotationUtils.findAnnotation(bean.getClass(), ControllerPermissions.class);
boolean isPermissionMappingDefined = false;
if (Objects.nonNull(controllerPermissions)) {
PermissionMapping[] permissionMappings = controllerPermissions.value();
if (permissionMappings.length == 0) {
System.err.printf("权限配置警告: 控制器 [%s] 使用了@ControllerPermissions注解,但未指定任何权限映射 (PermissionMapping)。请使用 PermissionMapping 指定所需的接口类型和权限字符串。\n", bean.getClass().getName());
} else {
isPermissionMappingDefined = true;
for (PermissionMapping mapping : permissionMappings) {
if (mapping.permissions().length == 0) {
System.err.printf("权限配置警告: 控制器 [%s] 中的接口类型 [%s] 指定了PermissionMapping,但permissions属性为空。请在 PermissionMapping 中指定相应的权限字符串。\n", bean.getClass().getName(), mapping.interfaceType());
}
}
}
}
// 检查具有@DynamicPreAuthorize注解的方法是否在控制器上设置了@ControllerPermissions
Method[] methods = bean.getClass().getMethods();
for (Method method : methods) {
if (method.isAnnotationPresent(DynamicPreAuthorize.class) && !isPermissionMappingDefined) {
System.err.printf("权限配置警告: 控制器 [%s] 中的方法 [%s] 使用了@DynamicPreAuthorize注解,但尚未在控制器级别定义接口权限映射。请确保已经通过使用@ControllerPermissions注解对所需的接口类型指定了相应的权限字符串。\n", bean.getClass().getName(), method.getName());
}
}
return bean;
}
}