动态权限

前面讨论用户登录认证的时候，根据用户名查询用户会将用户拥有的角色一起查询出来，自动实现判断当前登录用户拥有哪些角色。可以说用户与角色之间的动态配置和判断 security 做的非常不错。不过在配置方法级别的权限的时候，使用注解虽然是一种比较优雅的方式，但是要求在开发的时候就知道当前 url 对应哪些角色，无法实现动态的配置，而实际的项目中，每个链接允许哪些角色访问也不是一成不变的，因此下面我们来实现自己的路由判断。

创建表

前面的讨论中，我们创建了用户表，角色表和用户角色中间表，下面来创建菜单功能表，并把现在有的 url 链接添加进去：

然后创建角色菜单中间表，加入角色与 url 之间的对应关系：

创建基础类

首先去掉前面的方法级别权限的注解，然后创建菜单实体类：

创建查询方法，根据 url 查询次链接对应的所有角色名称：

对应的 sql 语句如下：

路由动态获取角色

首先增加一个处理类，在收到访问的时候，动态获取当前 url 的角色：

新建一个 ObjectPostProcessor 类，将这个处理类配置到其中：

最后将新建的 ObjectPostProcessor 类配置到权限配置方法中：

路由决策管理

用户与角色是多对多的关系，url 与角色也是多对多的关系，这里的设定是，只要用户与 url 对应的角色中有相同的存在，就表示用户有访问的权限。首先看一下对应判断的处理类：

使用双重 for 循环进行判断，并进行结果投票。在注释中可以看到，使用不同的方式会产生不同的策略。下一步在 security 配置类中配置路由策略方法：

除了 UrlRoleAuthHandler 类，其它决策类使用的都是 security 存在的类，最后在权限配置中配置决策管理：

测试

这样动态权限 url 就配置好了，根据上面方法中的数据，可以登录查看是否具有对应的 url 权限，没有配置的是否不具备权限。

代码地址：https://gitee.com/blueses/spr… 11