Spring Security安全注解（三种）

Spring Security默认是禁用注解的，要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解，并在该类中将AuthenticationManager定义为Bean

如果要启用基于注解的方法安全性，要在配置类上使用**@EnableGlobalMethodSecurity**

①：

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true,jsr250Enabled = true,prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
}

②：

@Configuration
@EnableWebSecurity  // 启用Spring Security
@EnableGlobalMethodSecurity(securedEnabled = true, jsr250Enabled = true, prePostEnabled = true)  // 拦截注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
}

设置了securedEnabled = true，此时Spring将会创建一个切点，并将带有@Secured注解的方法防入切面中。同理，jsr250Enabled = true 与 prePostEnabled = true，分别表示启用@RolesAllowed与表达式驱动的注解

Controller中使用

@GetMapping(value = "/admin")
@Secured("ROLE_ADMIN")
public String admin(){
	return "admin";
}

（1）Spring Security自带注解：@Secured

当@EnableGlobalMethodSecurity(securedEnabled=true)的时候，@Secured可以使用：
功能：支持单一角色或者多个角色之间的任何一个角色，不支持spring EL表达式

@GetMapping("/helloUser")
// 拥有normal或者admin角色的用户都可以方法helloUser()方法
@Secured({"ROLE_normal","ROLE_admin"})
public String helloUser() {
	return "hello,user";
}

注意：匹配的字符串需要添加前缀“ROLE_”，如果要求，只有同时拥有admin & noremal的用户才能方法helloUser()方法，这时候@Secured就无能为力了

（2）JSR-250注解

如果选择使用@RolesAllowed的话，需要将@EnableGlobalMethodSecurity的jsr250Enabled属性设置为true，以开启此功能

注解	描述
@DenyAll	拒绝所有访问
@PermitAll	允许所有访问
@RolesAllowed	@RolesAllowed注解和@Secured注解在各个方面基本上都是一致的。唯一显著的区别在于@RolesAllowed是JSR-250定义的Java标准注解

@RequestMapping("/test")
@RolesAllowed("ROLE_ADMIN")
public String test1(){
return "test";
}

注解案例	功能说明
@RolesAllowed({“USER”, “ADMIN”})	该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_，实际的权限可能是ROLE_ADMIN

（3）表达式驱动注解

基于表达式的注解，并可以自定义扩展，只需继承GlobalMethodSecurityConfiguration类就可以实现。当然，在该扩展类上添加注解：@EnableGlobalMethodSecurity(prePostEnabled = true)来启动这种注解支持。如果没有访问方法的权限，会抛出AccessDeniedException

当**@EnableGlobalMethodSecurity(prePostEnabled=true)**的时候，@PreAuthorize、@PostAuthorize、@PostFilter、@PreFilter可以使用

注解	描述
@PreAuthorize	在方法调用之前，基于表达式的计算结果来限制对方法的访问
@PostAuthorize	允许方法调用，但是如果表达式计算结果为false，将抛出一个安全性异常
@PostFilter	允许方法调用，但必须按照表达式来过滤方法的结果
@PreFilter	允许方法调用，但必须在进入方法之前过滤输入值

Spring的@PreAuthorize/@PostAuthorize注解更适合方法级的安全，也支持Spring表达式语言，提供了基于表达式的访问控制

@PreAuthorize（最常用）：方法进入之前

注解适合进入方法前的权限验证，@PreAuthorize可以将登录用户的roles/permissions参数传到方法中

注解案例	功能说明
@PreAuthorize(“hasRole(‘ADMIN’)”)	拥有ADMIN角色权限才能访问
@PreAuthorize(“hasRole(‘ADMIN’) AND hasRole(‘DBA’)”)	拥有ADMIN角色和DBA角色权限才能访问
@PreAuthorize(“hasAnyRole(‘ADMIN’,‘DBA’)”)	拥有ADMIN或者DBA角色均可访问

@GetMapping("/helloUser")
// 拥有normal或者admin角色的用户都可以方法helloUser()方法
@PreAuthorize("hasAnyRole('normal','admin')")
public String helloUser() {
	return "hello,user";
}

此时如果要求用户必须同时拥有normal和admin的话，那么可以这么编码：

@GetMapping("/helloUser")
@PreAuthorize("hasRole('normal') AND hasRole('admin')")
public String helloUser() {
	return "hello,user";
}

此时如果使用user/123登录的话，就无法访问helloUser()的方法了

@PostAuthorize

@PostAuthorize注解使用并不多，在方法执行后再进行权限验证，适合验证带有返回值的权限，Spring EL提供返回对象能够在表达式语言中获取返回的对象returnObject

@GetMapping("/helloUser")
@PreAuthorize("returnObject!=null && returnObject.username == authentication.name")
public User helloUser() {
	Object pricipal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
	User user;
	if("anonymousUser".equals(pricipal)) {
		user = null;
	} else {
		user = (User) pricipal;
	}
	return user;
}