详解Spring Security 中的四种权限控制方式

下面我将详细讲解“详解Spring Security 中的四种权限控制方式”：

1. 认证和鉴权

几乎所有的Spring Security权限控制都需要经过两个基本步骤：认证和鉴权。

认证（Authentication）：指确定用户的身份，通常是用户提供用户名和密码给系统来验证其是否能够登录。

鉴权（Authorization）：指确定用户是否有权限访问某些资源或执行某些操作。

2. 基于角色的访问控制

基于角色的访问控制是Spring Security中最简单的权限控制方式，它是一种粗粒度的权限控制方式。在这种方式中，系统管理员需要为每种角色赋予一组操作或者资源，然后将这些角色赋予给不同的用户。

下面是一个示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/shop/**").access("hasRole('ADMIN') or hasRole('USER')")
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER")
                .and()
                .withUser("admin").password("password").roles("ADMIN");
    }
}

在这个例子中，所有以/admin/开头的URL都需要具有ADMIN角色才能访问。而以/shop/开头的URL需要具有ADMIN或者USER角色才能访问。管理员可以访问/admin/和/shop/下的所有资源，但是普通用户只能访问/shop/下的资源。

3. 基于权限的访问控制

与基于角色的访问控制相比，基于权限的访问控制是一种更加细粒度、更为灵活的访问控制方式。在这种方式中，每个用户都可以具有不同的权限，而这些权限可以授予给用户或者角色。

下面是一个示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasAuthority("ADMIN")
                .antMatchers("/shop/**").hasAnyAuthority("ADMIN", "USER")
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("user").password("password").authorities("USER")
                .and()
                .withUser("admin").password("password").authorities("ADMIN", "USER");
    }
}

在这个例子中，所有以/admin/开头的URL都需要具有ADMIN权限才能访问。而以/shop/开头的URL需要具有ADMIN或者USER权限才能访问。管理员可以访问/admin/和/shop/下的所有资源，但是普通用户只能访问/shop/下的资源。

4. 基于方法的访问控制

基于方法的访问控制是Spring Security中最为细粒度的访问控制方式。在这种方式中，可以对应用程序中的每个方法进行权限控制。这种方式通常应用于服务层或业务逻辑层。

下面是一个示例：

@Service
public class UserServiceImpl implements UserService {
    @Override
    @PreAuthorize("hasAuthority('ADMIN')")
    public void deleteUser(String username) {
        // 删除用户
    }
}

在这个例子中，deleteUser方法需要具有ADMIN权限才能调用。如果用户没有ADMIN权限，Spring Security会抛出AccessDeniedException。

5. 基于注解的访问控制

基于注解的访问控制是一种类似于基于方法的访问控制的方式，但是它可以更加灵活地进行配置。通过注解，可以对某个方法或类进行权限控制。

下面是一个示例：

@RestController
@RequestMapping("/api")
public class UserController {

    @PreAuthorize("hasRole('ROLE_USER')")
    @RequestMapping(value = "/user", method = RequestMethod.GET)
    public List<User> getAllUsers() {
        // 获取所有用户
    }
}

在这个例子中，getAllUsers方法需要具有ROLE_USER角色才能调用。如果用户没有ROLE_USER角色，Spring Security会抛出AccessDeniedException。

以上就是Spring Security 中的四种权限控制方式，希望对你有所帮助。