前言
写完后盾接口当前,剩下的是退出权限管制。最简略是对于spring security退出的@Secured注解,注解里退出容许拜访的角色即可。
@Secured("ROLE_VIEWER")public String getUsername() { SecurityContext securityContext = SecurityContextHolder.getContext(); return securityContext.getAuthentication().getName();}然而他里边的角色是如何与我定义的用户角色对应的呢,又是对应的哪个字段呢,我也没找到解释,想着写完当前去钻研一下。先写了一个尝试一下,在获取clazz分页数据接口上退出只能管理员拜访,而后登陆一个学生用户,用url跳转到clazz模块,发现起作用了。
而后就将大部分接口都退出了@Secured注解。再启动我的项目就发现就不对劲了,他是起作用了,然而对所有角色用户都拦挡了。一开始想到写法不太正确,然而又不晓得外头填的角色名称跟什么绝对应。这能去钻研他的原理。
过程
去网上找了很多材料,对于这方面的形容都只停留在应用层面。都是说你只有退出@Secured("ADMIN")注解,就只有你角色是ADMIN的用户能力拜访。然而怎么让用户角色是ADMIN,并没有具体的介绍。
网上找不到材料,我问了学长对于原来我的项目的应用办法。学长通知我是因为实现UserDetailsService接口的loadUserByUsername办法里去增加获取到的user的角色。
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { logger.debug("依据用户名查问用户"); User user = this.userRepository.findByUsername(username); if (user == null) { logger.error("用户名不存在"); throw new UsernameNotFoundException("用户名不存在"); } logger.debug("获取用户受权菜单"); Set<Menu> menus = new HashSet<>(); for (Role role : user.getRoles()) { menus.addAll(role.getMenus()); } logger.debug("初始化受权列表"); List<SimpleGrantedAuthority> authorities = new ArrayList<>(); logger.debug("依据菜单进行 API 受权"); for (Menu menu : menus) { authorities.add(new SimpleGrantedAuthority(menu.getRoleName())); } logger.debug("结构用户"); return new YzUserDetail(user, username, user.getPassword(), authorities);}而后与@Secured注解里咱们定义的角色名称绝对应。
我一看我的我的项目中loadUserByUsername办法向UserDetail办法传入的authorities参数是一个new ArrayList<>()空数组。我就试着变成传入角色数组,再去试验,还是将所有角色拦挡了。并没有解决问题。
而后我在loadUserByUsername办法上打断点,发现看看是否执行,发现只有登录的时候执行了,然而是获取到用户角色了的。
我就想可能是其余中央实现的传入角色。我去找哪还用了UserDetail。发现在咱们自定义的spring security过滤器中也使用了,
if (userOptional.isPresent()) { // token无效,则设置登录信息 PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken( new UserServiceImpl.UserDetail(userOptional.get(), new ArrayList<>()), null, new ArrayList<>()); SecurityContextHolder.getContext().setAuthentication(authentication); }我在PreAuthenticatedAuthenticationToken中退出角色authorities,发现居然能够了。
if (userOptional.isPresent()) { // token无效,则设置登录信息 // 设置用户角色 List<SimpleGrantedAuthority> authorities = new ArrayList<>(); for (Role role: userOptional.get().getRoles()) { authorities.add(new SimpleGrantedAuthority(role.getValue())); } PreAuthenticatedAuthenticationToken authentication = new PreAuthenticatedAuthenticationToken( new UserServiceImpl.UserDetail(userOptional.get(), new ArrayList<>()), null, authorities); SecurityContextHolder.getContext().setAuthentication(authentication);}那为什么和老我的项目里实现的办法不一样呢。我去老我的项目里搜了一下对于
SecurityContextHolder.getContext().setAuthentication()的实现,发现
// 设置以后登录用户,设置其状态为:已认证。其它同类过滤器获取到已认证的状态后将跳过其本身的认证过程
UserDetails userDetails = this.authService.loadUserByUsername(authentication.getName()); SecurityContextHolder.getContext().setAuthentication( new SuperPasswordAuthenticationToken( userDetails, authentication.getCredentials(), userDetails.getAuthorities() ));他是在实现里去传入了SuperPasswordAuthenticationToken ,在SuperPasswordAuthenticationToken里传入了userDetails.getAuthorities()。
显然SuperPasswordAuthenticationToken与PreAuthenticatedAuthenticationToken
继承同一个父类。
最初起作用的是咱们
SecurityContextHolder.getContext().setAuthentication(authentication);里传入的用户,其余任何实现都为咱们传入的user相干信息服务。
总结
应用一个新货色不能照猫画猫。外头要传什么参数要了解其中的原理才行。