@Secured(), @PreAuthorize()

前面简单的提到过这两个注解的区别，那只是从配置以及原理上做的说明，今天，将从使用即代码层面加以说明这两个的使用注意事项！

首先， 若是自己实现用户信息数据库存储的话，需要注意UserDetails的函数（下面代码来自于Spring boot 1.2.7 Release的依赖 Spring security 3.2.8）：

    /**
     * Returns the authorities granted to the user. Cannot return <code>null</code>.
     *
     * @return the authorities, sorted by natural key (never <code>null</code>)
     */
    Collection<? extends GrantedAuthority> getAuthorities();

在我的MUEAS项目中，这个接口函数的实现是下面这个样子的：

public class SecuredUser extends User implements UserDetails{

    private static final long serialVersionUID = -1501400226764036054L;
    
    private User user;    
    public SecuredUser(User user){
        if(user != null){
            this.user = user;    
            this.setUserId(user.getId());
            this.setUserId(user.getUserId());
            this.setUsername(user.getUsername());    
            this.setPassword(user.getPassword());
            this.setRole(user.getRole().name());
            //this.setDate(user.getDate());
            
            this.setAccountNonExpired(user.isAccountNonExpired());
            this.setAccountNonLocked(user.isAccountNonLocked());
            this.setCredentialsNonExpired(user.isCredentialsNonExpired());
            this.setEnabled(user.isEnabled());            
        }
    }
    
    public void setUser(User user){
        this.user = user;
    }
    
    public User getUser(){
        return this.user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");
        Role role = user.getRole();
        
        if(role != null){
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());
            authorities.add(authority);        
        }
        return authorities;
    }    
}

注意，我在创建SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());的时候没有添加“ROLE_”这个rolePrefix前缀，也就是说，我没有像下面这个样子操作：

        @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");
        Role role = user.getRole();
        
        if(role != null){
            SimpleGrantedAuthority authority = new SimpleGrantedAuthority(“ROLE_”+role.name());
            authorities.add(authority);        
        }
        return authorities;
    }    

不要小看这一区别，这个将会影响后面权限控制的编码方式。

具体说来， 若采用@EnableGlobalMethodSecurity(securedEnabled = true)注解，对函数访问进行控制，那么，就会有一些问题(不加ROLE_)，因为，这个时候，AccessDecissionManager会选择RoleVoter进行vote，但是RoleVoter默认的rolePrefix是“ROLE_”。

当函数上加有@Secured(),我的项目中是@Secured({"ROLE_ROOT"})

    @RequestMapping(value = "/setting/username", method = RequestMethod.POST)    
    @Secured({"ROLE_ROOT"})
    @ResponseBody
    public Map<String, String> userName(User user, @RequestParam(value = "username") String username){    
        Map<String, String> modelMap = new HashMap<String, String>();    
        System.out.println(username);    
                
        user.setUsername(username);
        userService.update(user);
        
        
        modelMap.put("status", "ok");
        return modelMap;
    }

而RoleVoter选举时，会检测是否支持。如下函数（来自Spring Security 3.2.8 Release默认的RoleVoter类）

public boolean supports(ConfigAttribute attribute) {
        if ((attribute.getAttribute() != null) && attribute.getAttribute().startsWith(getRolePrefix())) {
            return true;
        }
        else {
            return false;
        }
    }

上面的函数会返回true，因为传递进去的attribute是来自于@Secured（{"ROLE_ROOT"}）注解。不幸的时，当进入RoleVoter的vote函数时，就失败了：

public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {
        int result = ACCESS_ABSTAIN;
        Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

        for (ConfigAttribute attribute : attributes) {
            if (this.supports(attribute)) {
                result = ACCESS_DENIED;

                // Attempt to find a matching granted authority
                for (GrantedAuthority authority : authorities) {
                    if (attribute.getAttribute().equals(authority.getAuthority())) {
                        return ACCESS_GRANTED;
                    }
                }
            }
        }

        return result;
    }

原因在于，authority.getAuthority()返回的将是ROOT,而并不是ROLE_ROOT。然而，即使将@Secured({"ROLE_ROOT"})改为@Secured({"ROOT"})也没有用， 所以，即使当前用户是ROOT权限用户，也没有办法操作，会放回403 Access Denied Exception.

解决的办法：有两个。

第一个： 就是将前面提到的UserDetails的接口函数getAuthorities()的实现中，添加前缀，如上面提到的，红色"ROLE_"+role.name()

第二个： 就是不用@Secured（）注解，采用@PreAuthorize()：

/**
 * Method Security Configuration.
 */
@EnableGlobalMethodSecurity(prePostEnabled = true) //替换掉SecuredEnabled = true
@Configuration
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

}

上面的修改，将会实现AccessDecissionManager列表中AccessDecisionVoter，多出一个voter，即PreInvocationAuthorizationAdviceVoter.

并且修改函数上的注解：

    @RequestMapping(value = "/setting/username", method = RequestMethod.POST)    
    @PreAuthorize("hasRole('ROOT')") //或则@PreAuthorize("hasAuthority('ROOT')")
    @ResponseBody
    public Map<String, String> userName(User user, @RequestParam(value = "username") String username){    
        Map<String, String> modelMap = new HashMap<String, String>();    
        System.out.println(username);    
                
        user.setUsername(username);
        userService.update(user);
        
        
        modelMap.put("status", "ok");
        return modelMap;
    }

这样的话，就可以正常实现函数级别的权限控制了。

是不是有点绕？反正这个问题折腾了我差不多一上午。。。。