@PreAuthorize 权限控制的原理

@PreAuthorize是SpringSecurity提供的权限安全认证注解。是在进入方法前进行权限验证，@PreAuthorize 声明这个方法所需要的权限表达式，例如：@PreAuthorize("hasAuthority('sys:dept:delete')")。

1.添加依赖
<!-- oauth -->
<dependency>
<groupId>org.springframework.cloud</groupId>
<artifactId>spring-cloud-starter-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security.oauth</groupId>
<artifactId>spring-security-oauth2</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-jwt</artifactId>
</dependency>

2. 方法前增加注解@PreAuthorize

@PreAuthorize("@ss.hasRole('sys:user:add')")

public void addUser(User user) {
System.out.println("addUser................" + user);

}

上面的注解标识在进入方法addUser之前，进行权限认证。是否拥有user的add权限。其中ss表示hasRole方法所在的类。如：

@Service("ss")
public class PermissionService
{

/**
 * 验证用户是否具备某权限
 */
public boolean hasPermi(String permission){
   ...
   return true;
}}

3. 参数验证

  /**

    * 限制只能新增用户名称为david的用户

    */

   @PreAuthorize("#user.name.equals('david')")

   public void add(User user) {

  }

调用find(String username)时只允许username为当前用户的用户名；定义了调用add()方法时只有当参数user的name为david时才可以调用。

/**

* 限制只能查询Id小于100的用户

*/

@PreAuthorize("#id<100")

public User find(int id) {
System.out.println("find user by id........." + id);

}

 在上面代码中我们定义了调用find(int id)方法时，只允许参数id小于10的调用。