如何自定义Spring Security基于方法的访问控制规则？

题目

如何自定义Spring Security基于方法的访问控制规则？

信息

• 类型：问答
• 难度：⭐⭐

考点

方法级安全,注解使用,权限表达式,自定义投票器

快速回答

在Spring Security中自定义方法级访问控制的主要步骤：

1. 启用全局方法安全：在配置类添加@EnableGlobalMethodSecurity(prePostEnabled = true)
2. 使用安全注解：在Service或Controller方法上添加@PreAuthorize, @PostAuthorize等注解
3. 编写SpEL表达式：例如@PreAuthorize("hasRole('ADMIN') or #userId == authentication.name")
4. 自定义权限逻辑：通过实现PermissionEvaluator扩展表达式

关键点：确保方法调用被Spring代理拦截，表达式需符合安全上下文环境。

解析

1. 核心原理

Spring Security的方法级安全通过AOP代理实现：

• 在方法调用前/后插入安全拦截器
• 解析注解中的SpEL表达式
• 基于SecurityContextHolder获取当前认证信息
• 通过AccessDecisionManager协调投票器决策

2. 基础配置示例

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig {
    // 可添加自定义PermissionEvaluator等组件
}

@Service
public class UserService {
    @PreAuthorize("hasRole('ADMIN') or #id == authentication.principal.id")
    public User getUser(Long id) {
        // 业务逻辑
    }
}

3. 常用注解详解

4. 自定义权限扩展

当内置表达式不足时：

1. 实现PermissionEvaluator接口：

   public class CustomPermissionEvaluator implements PermissionEvaluator {
       @Override
       public boolean hasPermission(Authentication auth, Object target, Object permission) {
           // 自定义逻辑，例如检查领域对象权限
           return ...;
       }
   }

2. 注册自定义评估器：

   @Bean
   public MethodSecurityExpressionHandler expressionHandler() {
       DefaultMethodSecurityExpressionHandler handler = 
           new DefaultMethodSecurityExpressionHandler();
       handler.setPermissionEvaluator(new CustomPermissionEvaluator());
       return handler;
   }

3. 在注解中使用：
   @PreAuthorize("hasPermission(#userId, 'USER', 'DELETE')")

5. 最佳实践与陷阱

• 最佳实践：
  • 优先使用@PreAuthorize而非Controller层校验
  • 复杂逻辑封装到PermissionEvaluator中保持注解简洁
  • 对领域对象实现Auditable接口便于获取所有者
• 常见错误：
  • 未启用代理导致注解失效：确保调用经过Spring代理（避免同类内调用）
  • 表达式误用静态方法：应使用@引用Bean（如@myService.check(...)）
  • 权限漏洞：@PostAuthorize需注意敏感数据在方法执行期间已加载

6. 扩展知识

• 自定义投票器：实现AccessDecisionVoter处理复杂决策逻辑
• 元注解：封装常用表达式如@IsAdmin提高可维护性
• 响应式支持：Spring Security 5+提供@PreAuthorize的响应式变体