@Secured(), @PreAuthorize()

前面簡單的提到過這兩個注解的區別，那只是從配置以及原理上做的說明，今天，將從使用即代碼層面加以說明這兩個的使用注意事項！

 

首先， 若是自己實現用戶信息數據庫存儲的話，需要注意UserDetails的函數（下面代碼來自於Spring boot 1.2.7 Release的依賴 Spring security 3.2.8）：

    /**
     * Returns the authorities granted to the user. Cannot return <code>null</code>.
     *
     * @return the authorities, sorted by natural key (never <code>null</code>)
     */
    Collection<? extends GrantedAuthority> getAuthorities();

在我的MUEAS項目中，這個接口函數的實現是下面這個樣子的：

public class SecuredUser extends User implements UserDetails{

    private static final long serialVersionUID = -1501400226764036054L;
    
    private User user;    
    public SecuredUser(User user){
        if(user != null){
            this.user = user;    
            this.setUserId(user.getId());
            this.setUserId(user.getUserId());
            this.setUsername(user.getUsername());    
            this.setPassword(user.getPassword());
            this.setRole(user.getRole().name());
            //this.setDate(user.getDate());
            
            this.setAccountNonExpired(user.isAccountNonExpired());
            this.setAccountNonLocked(user.isAccountNonLocked());
            this.setCredentialsNonExpired(user.isCredentialsNonExpired());
            this.setEnabled(user.isEnabled());            
        }
    }
    
    public void setUser(User user){
        this.user = user;
    }
    
    public User getUser(){
        return this.user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        Preconditions.checkNotNull(user, "user在使用之前必須給予賦值");
        Role role = user.getRole();
        
        if(role != null){
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());
            authorities.add(authority);        
        }
        return authorities;
    }    
}

注意，我在創建SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());的時候沒有添加“ROLE_”這個rolePrefix前綴，也就是說，我沒有像下面這個樣子操作：

        @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        Preconditions.checkNotNull(user, "user在使用之前必須給予賦值");
        Role role = user.getRole();
        
        if(role != null){
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(“ROLE_”+role.name());
            authorities.add(authority);        
        }
        return authorities;
    }    

不要小看這一區別，這個將會影響后面權限控制的編碼方式。

具體說來， 若采用@EnableGlobalMethodSecurity(securedEnabled = true)注解，對函數訪問進行控制，那么，就會有一些問題(不加ROLE_)，因為，這個時候，AccessDecissionManager會選擇RoleVoter進行vote，但是RoleVoter默認的rolePrefix是“ROLE_”。

當函數上加有@Secured(),我的項目中是@Secured({"ROLE_ROOT"})

    @RequestMapping(value = "/setting/username", method = RequestMethod.POST)    
    @Secured({"ROLE_ROOT"})  3     @ResponseBody
    public Map<String, String> userName(User user, @RequestParam(value = "username") String username){    
        Map<String, String> modelMap = new HashMap<String, String>();    
        System.out.println(username);    
                
        user.setUsername(username);
        userService.update(user);
        
        
        modelMap.put("status", "ok");
        return modelMap;
    }

而RoleVoter選舉時，會檢測是否支持。如下函數（來自Spring Security 3.2.8 Release默認的RoleVoter類）

public boolean supports(ConfigAttribute attribute) {
        if ((attribute.getAttribute() != null) && attribute.getAttribute().startsWith(getRolePrefix())) {
            return true;
        }
        else {
            return false;
        }
    }

上面的函數會返回true，因為傳遞進去的attribute是來自於@Secured（{"ROLE_ROOT"}）注解。不幸的時，當進入RoleVoter的vote函數時，就失敗了：

public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        int result = ACCESS_ABSTAIN;
        Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

        for (ConfigAttribute attribute : attributes) {
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                // Attempt to find a matching granted authority
                for (GrantedAuthority authority : authorities) {
                    if (attribute.getAttribute().equals(authority.getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }

原因在於，authority.getAuthority()返回的將是ROOT,而並不是ROLE_ROOT。然而，即使將@Secured({"ROLE_ROOT"})改為@Secured({"ROOT"})也沒有用， 所以，即使當前用戶是ROOT權限用戶，也沒有辦法操作，會放回403 Access Denied Exception.

解決的辦法：有兩個。

第一個： 就是將前面提到的UserDetails的接口函數getAuthorities()的實現中，添加前綴，如上面提到的，紅色"ROLE_"+role.name()

第二個： 就是不用@Secured（）注解，采用@PreAuthorize()：

/**
 * Method Security Configuration.
 */
@EnableGlobalMethodSecurity(prePostEnabled = true) //替換掉SecuredEnabled = true
@Configuration
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

}

上面的修改，將會實現AccessDecissionManager列表中AccessDecisionVoter，多出一個voter，即PreInvocationAuthorizationAdviceVoter.

並且修改函數上的注解：

    @RequestMapping(value = "/setting/username", method = RequestMethod.POST)    
    @PreAuthorize("hasRole('ROOT')") //或則@PreAuthorize("hasAuthority('ROOT')")  3     @ResponseBody
    public Map<String, String> userName(User user, @RequestParam(value = "username") String username){    
        Map<String, String> modelMap = new HashMap<String, String>();    
        System.out.println(username);    
                
        user.setUsername(username);
        userService.update(user);
        
        
        modelMap.put("status", "ok");
        return modelMap;
    }

這樣的話，就可以正常實現函數級別的權限控制了。

 

是不是有點繞？反正這個問題折騰了我差不多一上午。。。。