微服务之间调用安全 微服务架构中整合网关、权限服务(9)

因为Aspect作用在bean上，所以先用Component把这个类添加到容器中。@Pointcut定义要拦截的注解。@Around定制一个环绕通知，当想获得注解里面的属性，可以直接注入该注解。切面表达式内主要实现了，利用Spring EL对value进行解析，将SecurityContextHolder.getContext()转换成标准的操作上下文，然后解析注解中的表达式，最后获取对表达式判断的结果。

public class CustomerSecurityExpressionRoot extends SecurityExpressionRoot {

    public CustomerSecurityExpressionRoot(Authentication authentication) {
        super(authentication);
    }
}

CustomerSecurityExpressionRoot继承的是抽象类SecurityExpressionRoot，而我们用到的实际表达式是定义在SecurityExpressionOperations接口，SecurityExpressionRoot又实现了SecurityExpressionOperations接口。不过这里面的具体判断实现，Spring Security 调用的也是Spring EL。

下面我们看看最终接口是怎么用上面实现的注解。

    @RequestMapping(value = "/test", method = RequestMethod.GET)
    @PreAuth("hasAuthority('CREATE_COMPANY')") // 还可以定义很多表达式，如hasRole('Admin')
    public String test() {
        return "ok";
    }

相对于其它的表达式语言而言，ongl的功能更为强大，它提供了很多高级而必须的特性，例如强大的类型转换功能，静态或实例方法的执行，跨集合投影，以及动态lambda表达式定义等。

方法：因为hglv的表达式只能是表达式，所以我们不能做if--else--的判断，不过我们可以借助于条件表达式，hglv的表达式可以这样定义：。

你能够写一个非常复杂的表达式，这个表达式中，你能够定义很多参数，然后你能够用call函数来向这个表达式传递参数。

的来说，面向接口应该是面向对象中的一部分吧，因为面向对象也强调的是依赖倒置原则，也就是实现依赖于抽象，而抽象不依赖于具体实现，更具比较的应该是面向接口与面向抽象对象，我的体会是面向接口更加灵活，但实现时候，稍微有些代码冗余，而面向抽象可以结合面向接口，先定义接口，再定义抽象类，在抽象类中处理一些公共逻辑，再实现具体实现类。

有些读者看了上面的设计，既然好多用到了Spring Security的工具类，肯定会问，为什么要引入这么复杂的工具类？

其实很简单，首先因为SecurityExpressionOperations接口中定义的表达式足够多，且较为合理，能够覆盖我们在平时用到的大部分场景；其次，笔者之前的设计是直接在注解中指定所需权限，没有扩展性，且可读性查；最后，Spring Security 4 确实引入了@PreAuthorize,@PostAuthorize等注解，本来想用来着，自己尝试了一下，发现对于微服务架构这样的接口级别的操作权限校验不是很适合，十多个过滤器太过复杂，而且还涉及到的Principal、Credentials等信息，这些已经在auth系统实现了身份合法性校验。笔者认为这边的功能实现并不是很复杂，需要很轻量的实现，读者有兴趣可以试着这部分的实现封装成jar包或者Spring Boot的starter。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxinshuyu/article-89698-9.html