具体项目处于特殊原因这里不上传了,简单说下过程中遇到的问题,
问题一,jwt如何进行权限校验。
首先我们在网上搜到权限处理往往都是基于hasRole进行处理的,原则上是能处理,但是业务上不规范应当使用hasPermission因此我们这里注意(敲黑板)。使用hasPermission请自行实现
PermissionEvaluator
并将此类注入到springsecurity中
注入方式如下:
@Bean
public DefaultWebSecurityExpressionHandler webSecurityExpressionHandler(){
DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
handler.setPermissionEvaluator(customPermissionEvaluator);
return handler;
}
// 注入自定义权限校验器
http.authorizeRequests().expressionHandler(webSecurityExpressionHandler());
controller中实现如下:
@PreAuthorize("hasPermission('test','permission1')")
@RequestMapping(value = {"/home","/index"}, method = RequestMethod.GET)
public String home(Model model) throws NotFoundException {
return "index";
}
问题二、HttpSecurity中的authorizeRequests() .anyRequest().authenticated()配了啥用
对于你没有显示写hasPermission的也会做拦截保护,很有必要。当然你也可以不写。影响不大
问题三、页面如何使用springsecurity标签
用过shiro的人对于shiro的标签用的很爽,此处对于security由于我们自定义了jwt模式并禁用了session因此需要做些特殊配置。
请注意(敲黑板)
使用前请参考https://github.com/thymeleaf/thymeleaf-extras-springsecurity确认你的以下jar包没有问题:
这里我标一下重点:
首先你需要确认你的thymeleaf的版本,
其次确认依赖项
以上基本包引入确定
第二步我们在页面头部加入
不用加版本号
第三步使用自定义权限(敲黑板)
<span sec:authorize= "${hasPermission('test','22')} ">
111111111111111
</span>
代码得这么写才能调用你的自定义权限
最后注入权限校验器(敲黑板)
//解决静态资源被拦截的问题
@Override
public void configure(WebSecurity web) throws Exception {
web.expressionHandler(webSecurityExpressionHandler());
}
这个地方不仅仅能处理静态资源,还能干这个。。。
以上为最近处理springsecurity的问题总结,非常感谢领导和同事的帮助。非常感谢。本人技术差如有不对还请指教谢谢!!