SpringSecurity中的权限注解很神奇吗？

　　最近有个小伙伴在微信群里问SpringSecurity权限注解的问题：
　　很多时候事情就是这么巧，松哥最近在做的tienchin也是基于注解来处理权限问题的，所以既然大家有这个问题，咱们就一块来聊聊这个话题。
　　当然一些基础的知识我就不讲了，对于SpringSecurity基本用法尚不熟悉的小伙伴，可在公众号后台回复ss，有原创的系列教程。1。具体用法
　　先来看看SpringSecurity权限注解的具体用法，如下：PreAuthorize（ss。hasPermi（tienchin：channel：query））GetMapping（list）publicTableDataInfogetChannelList（）｛startPage（）；ListChannellistchannelService。list（）；returngetDataTable（list）；｝
　　类似于上面这样，意思就是说，当前用户需要具备tienchin：channel：query权限，才能执行当前的接口方法。
　　那么要搞明白PreAuthorize注解的原理，我觉得得从两个方面入手：首先明白Spring中提供的SpEL。其次搞明白SpringSecurity中对方法注解的处理规则。
　　我们一个一个来看。2。SpEL
　　SpringExpressionLanguage（简称SpEL）是一个支持查询和操作运行时对象导航图功能的强大的表达式语言。它的语法类似于传统EL，但提供额外的功能，最出色的就是函数调用和简单字符串的模板函数。
　　SpEL给Spring社区提供一种简单而高效的表达式语言，一种可贯穿整个Spring产品组的语言。这种语言的特性基于Spring产品的需求而设计，这是它出现的一大特色。
　　在我们离不开Spring框架的同时，其实我们也已经离不开SpEL了，因为它太好用、太强大了，SpEL在整个Spring家族中也处于一个非常重要的位置。但是很多时候，我们对它的只了解一个大概，其实如果你系统的学习过SpEL，那么上面SpringSecurity那个注解其实很好理解。
　　我先通过一个简单的例子来和大家捋一捋SpEL。
　　为了省事，我就创建一个SpringBoot工程来和大家演示，创建的时候不用加任何额外的依赖，就最最基础的依赖即可。
　　代码如下：StringexpressionStr12；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expressionStr）；
　　expressionStr是我们自定义的一个表达式字符串，这个字符串通过一个ExpressionParser对象将之解析为一个Expression，接下来就可以执行这个exp了。
　　执行的时候有两种方式，对于我们上面这种不带任何额外变量的，我们可以直接执行，直接执行的方式如下：Objectvalueexp。getValue（）；System。out。println（value。toString（））；
　　这个打印结果为3。
　　我记得之前有个小伙伴在群里问想执行一个字符串表达式，但是不知道怎么办，js中有eval函数很方便，我们Java中也有SpEL，一样也很方便。
　　不过很多时候，我们要执行的表达式可能比较复杂，这时候上面这种调用方式就不太够用了。
　　此时我们可以为要调用的表达式设置一个上下文环境，这个时候就会用到EvaluationContext或者它的子类，如下：StandardEvaluationContextcontextnewStandardEvaluationContext（）；System。out。println（exp。getValue（context））；
　　当然上面这个表达式不需要设置上下文环境，我举一个需要设置上下文环境的例子。
　　例如我现在有一个User类，如下：publicclassUser｛privateIntegerid；privateStringusername；privateStringaddress；省略gettersetter｝
　　现在我的表达式是这样：Stringexpressionuser。username；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expression）；StandardEvaluationContextctxnewStandardEvaluationContext（）；UserusernewUser（）；user。setAddress（广州）；user。setUsername（javaboy）；user。setId（99）；ctx。setVariable（user，user）；Stringvalueexp。getValue（ctx，String。class）；System。out。println（valuevalue）；
　　这个表达式就表示获取user对象的username属性。将来创建一个user对象，放到StandardEvaluationContext中，并基于此对象执行表达式，就可以打印出来想要的结果。
　　如果我们将user对象设置为rootObject，那么表达式中就不需要user了，如下：Stringexpressionusername；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expression）；StandardEvaluationContextctxnewStandardEvaluationContext（）；UserusernewUser（）；user。setAddress（广州）；user。setUsername（javaboy）；user。setId（99）；ctx。setRootObject（user）；Stringvalueexp。getValue（ctx，String。class）；System。out。println（valuevalue）；
　　表达式就一个username字符串，将来执行的时候，会自动从user中找到username的值并返回。
　　当然表达式也可以是方法，例如我在User类中添加如下两个方法：publicStringsayHello（Integerage）｛returnhellousername；ageage；｝publicStringsayHello（）｛returnhellousername；｝
　　我们就可以通过表达式调用这两个方法，如下：
　　调用有参的sayHello：StringexpressionsayHello（99）；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expression）；StandardEvaluationContextctxnewStandardEvaluationContext（）；UserusernewUser（）；user。setAddress（广州）；user。setUsername（javaboy）；user。setId（99）；ctx。setRootObject（user）；Stringvalueexp。getValue（ctx，String。class）；System。out。println（valuevalue）；
　　就直接写方法名然后执行就行了。
　　调用无参的sayHello：StringexpressionsayHello；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expression）；StandardEvaluationContextctxnewStandardEvaluationContext（）；UserusernewUser（）；user。setAddress（广州）；user。setUsername（javaboy）；user。setId（99）；ctx。setRootObject（user）；Stringvalueexp。getValue（ctx，String。class）；System。out。println（valuevalue）；
　　这些就都好懂了。
　　甚至，我们的表达式也可以涉及到Spring中的一个Bean，例如我们向Spring中注册如下Bean：Service（us）publicclassUserService｛publicStringsayHello（Stringname）｛returnhelloname；｝｝
　　然后通过SpEL表达式来调用这个名为us的bean中的sayHello方法，如下：AutowiredBeanFactorybeanFactory；TestvoidcontextLoads（）｛Stringexpressionus。sayHello（javaboy）；ExpressionParserparsernewSpelExpressionParser（）；Expressionexpparser。parseExpression（expression）；StandardEvaluationContextctxnewStandardEvaluationContext（）；ctx。setBeanResolver（newBeanFactoryResolver（beanFactory））；Stringvalueexp。getValue（ctx，String。class）；System。out。println（valuevalue）；｝
　　给配置的上下文环境设置一个bean解析器，这个bean解析器会自动跟进名字从Spring容器中找打响应的bean并执行对应的方法。
　　当然，关于SpEL的玩法还有很多，我就不一一列举了。这里主要是想让小伙伴们知道，有这么个技术，方便大家理解PreAuthorize注解的原理。3。PreAuthorize
　　接下来我们就回到SpringSecurity中来看PreAuthorize注解。
　　权限的实现方式千千万，又有各种不同的权限模型，然而归结到代码上，无非两种：基于URL地址的权限处理基于方法注解的权限处理
　　松哥之前的vhr使用的是前者。
　　PreAuthorize注解当然对应的是后者。这次做的tienchin项目就是后者，我们来看一个例子：PreAuthorize（ss。hasPermi（tienchin：channel：query））GetMapping（list）publicTableDataInfogetChannelList（）｛startPage（）；ListChannellistchannelService。list（）；returngetDataTable（list）；｝
　　注解好说，里边的ss。hasPermi（tienchin：channel：query）是啥意思呢？ss是一个注册在Spring容器中的bean，对应的类位于org。javaboy。tienchin。framework。web。service。PermissionService中。很明显，hasPermi就是这个类中的方法。
　　这个hasPermi方法的逻辑其实很简单：publicbooleanhasPermi（Stringpermission）｛if（StringUtils。isEmpty（permission））｛returnfalse；｝LoginUserloginUserSecurityUtils。getLoginUser（）；if（StringUtils。isNull（loginUser）CollectionUtils。isEmpty（loginUser。getPermissions（）））｛returnfalse；｝returnhasPermissions（loginUser。getPermissions（），permission）；｝privatebooleanhasPermissions（SetStringpermissions，Stringpermission）｛returnpermissions。contains（ALLPERMISSION）permissions。contains（StringUtils。trim（permission））；｝
　　这个判断逻辑很简单，就是获取到当前登录的用户，判断当前登录用户的权限集合中是否具备当前请求所需要的权限。具体的判断逻辑没啥好说的，就是看集合中是否存在某个字符串。
　　那么这个方法是在哪里调用的呢？
　　大家知道，SpringSecurity中处理权限的过滤器是FilterSecurityInterceptor，所有的权限处理最终都会来到这个过滤器中。在这个过滤器中，将会用到各种投票器、表决器之类的工具，这里我就不细说了，之前的SpringSecurity系列教程都有详细介绍。
　　在投票器中，我们可以看到专门处理PreAuthorize注解的类PreInvocationAuthorizationAdviceVoter，我们来看下他里边的核心方法：Overridepublicintvote（Authenticationauthentication，MethodInvocationmethod，CollectionConfigAttributeattributes）｛PreInvocationAttributepreAttrfindPreInvocationAttribute（attributes）；if（preAttrnull）｛returnACCESSABSTAIN；｝returnthis。preAdvice。before（authentication，method，preAttr）？ACCESSGRANTED：ACCESSDENIED；｝
　　框架的源码写的就是好，你一看名字就知道他想干嘛了！这里就进入到最后一句，调用了一个Advice中到前置通知，来判断权限是否满足：publicbooleanbefore（Authenticationauthentication，MethodInvocationmi，PreInvocationAttributeattr）｛PreInvocationExpressionAttributepreAttr（PreInvocationExpressionAttribute）attr；EvaluationContextctxthis。expressionHandler。createEvaluationContext（authentication，mi）；ExpressionpreFilterpreAttr。getFilterExpression（）；ExpressionpreAuthorizepreAttr。getAuthorizeExpression（）；if（preFilter！null）｛ObjectfilterTargetfindFilterTarget（preAttr。getFilterTarget（），ctx，mi）；this。expressionHandler。filter（filterTarget，preFilter，ctx）；｝return（preAuthorize！null）？ExpressionUtils。evaluateAsBoolean（preAuthorize，ctx）：true；｝
　　现在，当你看到这个before方法的时候，应该会觉得比较熟悉了吧。首先获取到preAttr对象，这个对象里边其实就保存着你PreAuthorize注解中的内容。接下来跟进当前登录用户信息authentication创建一个上下文对象，此时创建出来的上下文对象中就包含了当前用户具备哪些权限。获取过滤器（我们这个项目中无）。获取到权限注解。最后执行表达式，去查看当前用户权限中是否包含请求所需要的权限。
　　就这样，是不是很简单？
　　好啦，今天就和小伙伴们分享这么多，在松哥近期推出的tienchin项目视频中，也会通过视频的形式跟大家细聊这个知识点。