Spring Security的@PreAuthorize注解为什么会知道用户角色?

✅ 核心原理:@PreAuthorize 通过 SecurityContext 获取当前用户信息

@PreAuthorize 本身只是一个"声明式权限注解",它并不直接知道用户是谁、有什么角色。它的能力来自于 Spring Security 在运行时提供的上下文信息(Security Context)

这个上下文里保存了当前登录用户的详细信息,包括:

  • 用户名
  • 密码(通常不暴露)
  • 权限(Granted Authorities) ← 这就是角色的来源
  • 是否已认证

🔁 完整流程解析

1️⃣ 用户发起请求(如:curl -u admin:123456 ...

HTTP Basic 认证将用户名密码放在请求头中:

复制代码
Authorization: Basic YWRtaW46MTIzNDU2

Spring Security 拦截该请求,提取用户名 admin 和密码 123456


2️⃣ Spring Security 调用 UserDetailsService.loadUserByUsername()

这是最关键的一环!

你定义了:

java 复制代码
@Service
public class CustomUserDetailsService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) {
        // 从数据库或缓存中查用户
        // 构建 UserDetails 对象,包含用户名、密码、权限(角色)
        return new User(username, password, authorities);
    }
}

其中 authorities 是一个 Collection<? extends GrantedAuthority>,比如:

java 复制代码
List<GrantedAuthority> authorities = 
    Collections.singletonList(new SimpleGrantedAuthority("ROLE_ADMIN"));

👉 重点来了

这里的 "ROLE_ADMIN" 就是角色信息,它被封装进了 UserDetails,最终放入 SecurityContext


3️⃣ 认证成功后,用户信息存入 SecurityContext

Spring Security 会创建一个 Authentication 对象,包含:

  • principal: 用户详情(就是你返回的 UserDetails 实例)
  • credentials: 密码(认证后通常设为 null)
  • authorities: 权限列表
  • authenticated: true

然后把这个 Authentication 放入 SecurityContext

java 复制代码
SecurityContextHolder.getContext().setAuthentication(authentication);

从此,整个应用都可以通过 SecurityContextHolder 获取当前用户信息。


4️⃣ 当请求到达 @PreAuthorize 方法时,Spring AOP 拦截并执行权限检查

例如:

java 复制代码
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String deleteUser() { ... }

Spring 会:

  1. SecurityContext 中取出 Authentication
  2. 获取 Authentication.getAuthorities()
  3. 检查这些权限中是否包含 ROLE_ADMIN
java 复制代码
// 伪代码
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
Collection<? extends GrantedAuthority> authorities = auth.getAuthorities();

boolean hasRole = authorities.stream()
    .anyMatch(a -> a.getAuthority().equals("ROLE_ADMIN"));

如果 hasRole == true,放行;否则抛出 AccessDeniedException


🧠 hasRole()hasAuthority() 的区别

方法 说明
hasRole('ADMIN') 等价于 hasAuthority('ROLE_ADMIN'),自动加 ROLE_ 前缀
hasAuthority('ROLE_ADMIN') 精确匹配权限字符串

所以你在 GrantedAuthority 中存的是 "ROLE_ADMIN",就应该用 hasRole('ADMIN')hasAuthority('ROLE_ADMIN')


📌 总结:@PreAuthorize 是如何知道角色的?

步骤 说明
1️⃣ 用户登录,Spring Security 提取用户名密码
2️⃣ 调用你实现的 CustomUserDetailsService.loadUserByUsername()
3️⃣ 你从数据库/缓存中查出用户,并构造 UserDetails,其中包含 GrantedAuthority(如 ROLE_ADMIN
4️⃣ 认证成功,Authentication 对象存入 SecurityContext
5️⃣ 请求到达 @PreAuthorize 方法,Spring 从 SecurityContext 取出 Authentication
6️⃣ 检查 authorities 列表是否包含所需角色
决定是否放行

💡 举个例子:

java 复制代码
private UserDetails buildUserDetails(String username, String password, String role) {
    Collection<? extends GrantedAuthority> authorities =
        Collections.singletonList(new SimpleGrantedAuthority(role)); // 👈 role = "ROLE_ADMIN"

    return new org.springframework.security.core.userdetails.User(username, password, authorities);
}

这里你把数据库查到的 role 字段(值为 "ROLE_ADMIN")封装成了一个 GrantedAuthority,它就会被 Spring Security 识别为用户的角色。


🛠️ 验证:你可以在代码中打印当前用户信息

java 复制代码
@PreAuthorize("hasRole('ROLE_ADMIN')")
@GetMapping("/debug")
public String debug() {
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    System.out.println("当前用户: " + auth.getName());
    System.out.println("用户权限: " + auth.getAuthorities());
    System.out.println("是否认证: " + auth.isAuthenticated());
    return "Check console";
}

输出:

复制代码
当前用户: admin
用户权限: [ROLE_ADMIN]
是否认证: true

结论
@PreAuthorize 能知道用户角色,是因为你通过 UserDetailsService 把角色信息加载进了 UserDetails,而 Spring Security 把它放进了全局上下文 SecurityContext@PreAuthorize 只是读取了这个上下文而已。

如果你不把角色放进 authorities@PreAuthorize 就"不知道"这个角色。

相关推荐
Pure03194 小时前
Spring 循环依赖问题
java·数据库·spring
一只叫煤球的猫4 小时前
Java实战:一个类让Java也用上JS的async/await
java·后端·性能优化
黄焖鸡能干四碗4 小时前
固定资产管理系统(蓝牙标签打印+移动端Java+Vue+Uniapp源码)
java·开发语言·vue.js·eclipse·uni-app
皮皮林5515 小时前
Java jar 如何防止被反编译?代码写的太烂,害怕被人发现
java
程序猿毕设源码分享网5 小时前
springboot医院信管系统源码和论文
java·spring boot·后端
叫我阿柒啊6 小时前
Java全栈开发面试实战:从基础到微服务的全面解析
java· spring boot· vue.js· 微服务· rest api· 数据库· 测试
桦说编程6 小时前
数据丢失,而且不抛出并发异常,多线程使用HashMap踩坑
java·数据结构·后端
奔跑吧邓邓子7 小时前
【Java实战⑨】Java集合框架实战:List集合深度剖析
java·实战·list·集合
小菜全7 小时前
使用Java获取本地PDF文件并解析数据
java·开发语言·python