Spring Security全新版本使用方式

前言

前不久Spring Boot 2.7.0 刚刚发布，Spring Security 也升级到了5.7.1 。升级后发现，原来一直在用的Spring Security配置方法，居然已经被弃用了。不禁感慨技术更新真快，用着用着就被弃用了！今天带大家体验下Spring Security的最新用法，看看是不是够优雅！

SpringBoot实战电商项目mall（50k+star）地址：github.com/macrozheng/…

基本使用

我们先对比下Spring Security提供的基本功能登录认证，来看看新版用法是不是更好。

升级版本

首先修改项目的pom.xml文件，把Spring Boot版本升级至2.7.0版本。

旧用法

在Spring Boot 2.7.0 之前的版本中，我们需要写个配置类继承WebSecurityConfigurerAdapter，然后重写Adapter中的三个方法进行配置；

如果你在SpringBoot 2.7.0版本中进行使用的话，你就会发现WebSecurityConfigurerAdapter已经被弃用了，看样子Spring Security要坚决放弃这种用法了！

新用法

新用法非常简单，无需再继承WebSecurityConfigurerAdapter，只需直接声明配置类，再配置一个生成SecurityFilterChainBean的方法，把原来的HttpSecurity配置移动到该方法中即可。

新用法感觉非常简洁干脆，避免了继承WebSecurityConfigurerAdapter并重写方法的操作，强烈建议大家更新一波！

高级使用

升级 Spring Boot 2.7.0版本后，Spring Security对于配置方法有了大的更改，那么其他使用有没有影响呢？其实是没啥影响的，这里再聊聊如何使用Spring Security实现动态权限控制！

基于方法的动态权限

首先来聊聊基于方法的动态权限控制，这种方式虽然实现简单，但却有一定的弊端。

在配置类上使用@EnableGlobalMethodSecurity来开启它；

然后在方法中使用@PreAuthorize配置访问接口需要的权限；

再从数据库中查询出用户所拥有的权限值设置到UserDetails对象中去，这种做法虽然实现方便，但是把权限值写死在了方法上，并不是一种优雅的做法。

基于路径的动态权限

其实每个接口对应的路径都是唯一的，通过路径来进行接口的权限控制才是更优雅的方式。

首先我们需要创建一个动态权限的过滤器，这里注意下doFilter方法，用于配置放行OPTIONS和白名单请求，它会调用super.beforeInvocation(fi)方法，此方法将调用AccessDecisionManager中的decide方法来进行鉴权操作；

接下来我们就需要创建一个类来继承AccessDecisionManager，通过decide方法对访问接口所需权限和用户拥有的权限进行匹配，匹配则放行；

由于上面的decide方法中的configAttributes属性是从FilterInvocationSecurityMetadataSource的getAttributes方法中获取的，我们还需创建一个类继承它，getAttributes方法可用于获取访问当前路径所需权限值；

这里需要注意的是，所有路径对应的权限值数据来自于自定义的DynamicSecurityService；

一切准备就绪，把动态权限过滤器添加到FilterSecurityInterceptor之前；

如果你看过这篇仅需四步，整合SpringSecurity+JWT实现登录认证 ！ 的话，就知道应该要配置这两个Bean了，一个负责获取登录用户信息，另一个负责获取存储的动态权限规则，为了适应Spring Security的新用法，我们不再继承SecurityConfig，简洁了不少！

效果测试

接下来启动我们的示例项目mall-tiny-security，使用如下账号密码登录，该账号只配置了访问/brand/listAll的权限，访问地址：http://localhost:8088/swagger-ui/

然后把返回的token放入到Swagger的认证头中；

当我们访问有权限的接口时可以正常获取到数据；

>

当我们访问没有权限的接口时，返回没有访问权限的接口提示。

总结

Spring Security的升级用法确实够优雅，够简单，而且对之前用法的兼容性也比较好！个人感觉一个成熟的框架不太会在升级过程中大改用法，即使改了也会对之前的用法做兼容，所以对于绝大多数框架来说旧版本会用，新版本照样会用！

参考资料

mall整合SpringSecurity和JWT实现认证和授权（一）mall整合SpringSecurity和JWT实现认证和授权（二）仅需四步，整合SpringSecurity+JWT实现登录认证 ！手把手教你搞定权限管理，结合Spring Security实现接口的动态权限控制！

项目源码地址

github.com/macrozheng/…

本文仅仅是对Spring Security新用法的总结，如果你想了解Spring Security更多用法，可以参考下之前的文章,希望大家以后多多支持七叶笔记！