1 服务器端方法级权限控制

在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。Spring Security在方法的权限控制上支持三种类型的注解，JSR-250注解、@Secured注解和支持表达式的注解，这三种注解默认都是没有启用的，需要单独通过global-method-security元素的对应属性进行启用

1.1 开启注解

• 配置文件

<security:global-method-security jsr250-annotations="enabled"/>
<security:global-method-security secured-annotations="enabled"/>
<security:global-method-security pre-post-annotations="disabled"/>

• 注解开启
  @EnableGlobalMethodSecurity ：Spring Security默认是禁用注解的，要想开启注解，需要在继承WebSecurityConfigurerAdapter的类上加@EnableGlobalMethodSecurity注解，并在该类中将AuthenticationManager定义为Bean。

1.2 JSR-250注解

• @RolesAllowed表示访问对应方法时所应该具有的角色

示例：
@RolesAllowed({"USER", "ADMIN"}) 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。
这里可以省略前缀ROLE_，实际的权限可能是ROLE_ADMIN

• @PermitAll表示允许所有的角色进行访问，也就是说不进行权限控制
• @DenyAll是和PermitAll相反的，表示无论什么角色都不能访问

1.2.1 测试

角色可以省略前缀 ROLE_

• web.xml
  

• 403.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>403页面</title>
</head>
<body>
<h1>权限不足</h1>

</body>
</html>

1.3 @Secured 注解

@Secured注解标注的方法进行权限控制的支持，其值默认为disabled。

• 角色前缀ROLE_不能省略
  

1.4 支持表达式的注解

• @PreAuthorize在方法调用之前,基于表达式的计算结果来限制对方法的访问

示例：
@PreAuthorize("#userId == authentication.principal.userId or
 hasAuthority(‘ADMIN’)")
void changePassword(@P("userId") long userId ){ }
这里表示在changePassword方法执行之前，判断方法参数userId的值是否等于principal中保存的
当前用户的userId，或者当前用户是否具有ROLE_ADMIN权限，两种符合其一，就可以访问该方法。

• @PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常

示例：
@PostAuthorize
User getUser("returnObject.userId == authentication.principal.userId or
hasPermission(returnObject, 'ADMIN')");

• @PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
• @PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

1.4.1 测试

2 页面端的权限控制

1. 导入依赖

<dependency>
            <groupId>org.springframework.security</groupId>
            <artifactId>spring-security-taglibs</artifactId>
            <version>${spring.security.version}</version>
        </dependency>

2. 在 jsp 页面导入标签

<%@taglib uri="http://www.springframework.org/security/tags" prefix="security"%>

2.1 常用标签

在jsp中我们可以使用以下三种标签，其中authentication代表的是当前认证对象，可以获取当前认证对象信息，例如用户名。其它两个标签我们可以用于权限控制

2.1.1 authentication

可以获取当前正在操作的用户信息

<security:authentication property="" htmlEscape="" scope="" var=""/>

• property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，不允许直接通过方法进行调用
• htmlEscape：表示是否需要将html进行转义。默认为true。
• scope：与var属性一起使用，用于指定存放获取的结果的属性名的作用范围，默认我pageContext。Jsp中拥有的作用范围都进行进行指定
• var： 用于指定一个属性名，这样当获取到了authentication的相关信息后会将其以var指定的属性名进行存放，默认是存放在pageConext中

2.1.2 authorize

authorize是用来判断普通权限的，通过判断用户是否具有对应的权限而控制其所包含内容的显示

<security:authorize access="" method="" url="" var=""></security:authorize>

• access： 需要使用表达式来判断权限，当表达式的返回结果为true时表示拥有对应的权限
• method：method属性是配合url属性一起使用的，表示用户应当具有指定url指定method访问的权限，method的默认值为GET，可选值为http请求的7种方法
• url：url表示如果用户拥有访问指定url的权限即表示可以显示authorize标签包含的内容
• var：用于指定将权限鉴定的结果存放在pageContext的哪个属性中

2.2 测试

2.3 如果不想使用表达式