如何使用 Spring Security 实现细粒度的权限控制？

在现代 Web 应用中，细粒度的权限控制是确保系统安全的关键。Spring Security 提供了强大的工具来实现用户认证和授权，其中 @PreAuthorize 注解是实现细粒度权限控制的重要工具。本文将详细介绍如何使用 Spring Security 和 @PreAuthorize 注解来实现方法级别的权限控制，并结合前端和后端进行完整的权限管理。

一、引入 Spring Security 相关依赖

在 pom.xml 文件中添加 Spring Security 和 Thymeleaf 相关依赖：

<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency><groupId>org.thymeleaf.extras</groupId><artifactId>thymeleaf-extras-springsecurity5</artifactId>
</dependency>

这些依赖将为你的 Spring Boot 项目提供安全功能和 Thymeleaf 模板的权限控制功能。

二、配置 SecurityConfig 类

创建一个 SecurityConfig 类来配置 Spring Security 的行为。这个类将定义登录页面、权限控制、异常处理等配置。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true) // 启用 @PreAuthorize
public class SecurityConfig extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception {http// 自定义表单登录.formLogin(formLogin ->formLogin.loginPage("/login").usernameParameter("username").passwordParameter("password").loginProcessingUrl("/login").defaultSuccessUrl("/home", true).failureUrl("/login?error=true"))// 权限拦截.authorizeRequests(authorizeRequests ->authorizeRequests.antMatchers("/login", "/register").permitAll().antMatchers("/css/**", "/js/**", "/images/**").permitAll().antMatchers("/admin/**").hasRole("ADMIN").antMatchers("/user/**").hasRole("USER").anyRequest().authenticated())// 退出登录.logout(logout ->logout.logoutUrl("/logout").logoutSuccessUrl("/login").clearAuthentication(true).invalidateHttpSession(true))// 异常处理.exceptionHandling(exceptionHandling ->exceptionHandling.accessDeniedPage("/access-denied"))// 关闭 CSRF 防护.csrf().disable();}@Beanpublic BCryptPasswordEncoder passwordEncoder() {return new BCryptPasswordEncoder();}
}

关键点解释

1. 启用了方法级别的安全控制：@EnableGlobalMethodSecurity(prePostEnabled = true) 允许使用 @PreAuthorize 等注解。

2. 自定义登录表单：指定了登录页面的路径、登录处理的 URL、登录成功和失败后的跳转路径。

3. 权限拦截：通过 authorizeRequests 定义了哪些请求需要认证，哪些需要特定角色。

4. 退出登录配置：定义了退出登录的 URL 和退出成功后的跳转路径。

5. 异常处理：定义了权限不足时的跳转页面。

6. 关闭 CSRF 防护：关闭了 CSRF 防护，适用于前后端分离项目。

三、自定义 UserDetailsService

实现 UserDetailsService 接口来加载用户信息和权限信息。这将允许 Spring Security 使用自定义的用户信息进行认证。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.User;
import org.springframework.stereotype.Service;import java.util.List;
import java.util.stream.Collectors;@Service
public class CustomUserDetailsService implements UserDetailsService {@Autowiredprivate UserRepository userRepository;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {UserEntity user = userRepository.findByUsername(username).orElseThrow(() -> new UsernameNotFoundException("User not found with username: " + username));List<GrantedAuthority> authorities = user.getRoles().stream().map(role -> new SimpleGrantedAuthority(role.getName())).collect(Collectors.toList());return new User(user.getUsername(), user.getPassword(), authorities);}
}

关键点解释

1. 加载用户信息：从数据库中加载用户信息。

2. 加载权限信息：将用户的权限信息转换为 GrantedAuthority 对象。

3. 返回 UserDetails 对象：创建并返回一个 UserDetails 对象，这是 Spring Security 进行认证和授权的基础。

四、使用 @PreAuthorize 实现方法级别的权限控制

@PreAuthorize 注解允许你在方法级别定义权限控制逻辑。这种方式可以实现非常细粒度的权限控制。

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereotype.Service;@Service
public class AdminService {@PreAuthorize("hasRole('ADMIN')")public String getAdminData() {return "Admin Data";}@PreAuthorize("hasRole('USER')")public String getUserData() {return "User Data";}@PreAuthorize("hasAuthority('READ_PRIVILEGE')")public String getSensitiveData() {return "Sensitive Data";}
}

关键点解释

1. @PreAuthorize 注解：指定方法执行前的权限检查逻辑。

2. hasRole 和 hasAuthority：hasRole 检查用户是否具有指定的角色，hasAuthority 检查用户是否具有指定的权限。

五、在前端实现权限控制

在 Thymeleaf 模板中，可以使用 sec:authorize 属性来控制哪些元素应该显示。这种方式可以在前端实现细粒度的权限控制。

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity5">
<head><title>Home</title>
</head>
<body><h1>Home Page</h1><div sec:authorize="hasRole('ADMIN')"><p>Welcome, Admin! <a th:href="@{/admin/data}">Admin Data</a></p></div><div sec:authorize="hasRole('USER')"><p>Welcome, User! <a th:href="@{/user/data}">User Data</a></p></div><div sec:authorize="hasAuthority('READ_PRIVILEGE')"><p>You have access to sensitive data: <a th:href="@{/sensitive/data}">Sensitive Data</a></p></div>
</body>
</html>

关键点解释

1. sec:authorize 属性：控制元素是否显示，基于用户的角色或权限。

2. hasRole 和 hasAuthority：与后端的 @PreAuthorize 注解相对应，用于前端的权限控制。

六、完整权限控制流程

1. 用户登录：用户通过登录页面提交用户名和密码。

2. 认证：Spring Security 使用 CustomUserDetailsService 加载用户信息和权限信息。

3. 授权：根据用户的角色和权限，允许或拒绝访问特定的页面或数据。

4. 方法级别权限控制：使用 @PreAuthorize 注解在方法级别进行权限控制。

5. 前端权限控制：使用 Thymeleaf 的 sec:authorize 属性控制页面元素的显示。

七、总结

通过 Spring Security 和 @PreAuthorize 注解，你可以实现非常细粒度的权限控制。这种方法不仅可以在后端控制方法的访问权限，还可以在前端控制页面元素的显示。结合这些工具，你可以构建一个安全、灵活且易于管理的权限控制系统。