@PreAuthorize注解是Spring Security中用来进行方法级别的安全控制的注解，通过这个注解开发者可以在调用某个方法之前，通过表达式语言(SpEL)操作来进行访问控制决策，通常会被用在Controller控制层方法上，这样可以保证满足某个条件的时候才可以调用该方法。下面我们就来详细看看如何使用@PreAuthorize注解。

使用方法

在配置类中启用方法安全性

要使用@PreAuthorize注解，首先我们需要在Spring的配置类中通过如下的方式来开启方法级别的安全控制体系。

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    // 其他配置
}

这一点在若依框架的SecurityConfig安全类上有所体现，这里我们不做过多介绍，有兴趣的读者可以自行查看。

在方法上使用 @PreAuthorize

接下来就是将@PreAuthorize注解直接添加到方法上，用来进行访问权限控制，如下所示。

@Service
public class MyService {

    @PreAuthorize("hasRole('ADMIN')")
    public void adminOnlyMethod() {
        // 只有具有 ADMIN 角色的用户才能访问此方法
    }

    @PreAuthorize("#userId == authentication.principal.id")
    public void userSpecificMethod(Long userId) {
        // 只有当方法参数 userId 与当前认证用户的 ID 匹配时，才允许访问
    }
}

表达式语言（SpEL）

在@PreAuthorize注解中支持了通过Spring 表达式语言（SpEL）来定义复杂的访问控制规则。常见的表达式如下所示。

• hasRole('ROLE')：检查当前用户是否具有指定角色。
• hasAuthority('AUTHORITY')：检查当前用户是否具有指定权限。
• #variableName：引用方法参数或其他上下文变量。
• authentication：引用当前认证对象。

基于角色检查

@PreAuthorize("hasRole('USER')")
public void userMethod() {
    // 只有具有 USER 角色的用户才能访问此方法
}

基于方法参数检查

@PreAuthorize("#id == authentication.principal.id")
public void methodWithId(Long id) {
    // 只有当方法参数 id 与当前认证用户的 ID 匹配时，才允许访问
}

组合条件检查

@PreAuthorize("hasRole('ADMIN') and #userId == authentication.principal.id")
public void adminAndSpecificUserMethod(Long userId) {
    // 只有具有 ADMIN 角色且用户 ID 匹配的用户才能访问此方法
}

使用 @PreAuthorize 注解，可以实现强大的方法级别的访问控制，在若依框架中定义了一种全新的权限控制体系，如下所示。

模仿若依的权限体系

在若依框架中通过@PreAuthorize("@ss.hasPermi('manage:dataReportTable:list')")的方式来定义了权限控制，通过自定义的表达式语言和自定义的检查权限法方法hasPermi来决定某个方法是否可以被调用。

我们也可以模仿这个权限体系来定义实现自己的权限控制体系，如下所示。

定义权限检查服务类PermissionService，在其中包含一个hasPermi方法。如下所示。

import org.springframework.stereotype.Service;

@Service("ss")
public class PermissionService {

    public boolean hasPermi(String permission) {
        // 获取当前认证用户
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        // 检查用户是否有指定权限（这里的逻辑可以根据实际情况进行实现）
        return authentication != null && authentication.getAuthorities().stream()
                .anyMatch(grantedAuthority -> grantedAuthority.getAuthority().equals(permission));
    }
}

启用全局方法安全性

在Spring配置类中启用方法级别的安全性，如下所示。

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration;

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    // 其他配置
}

在方法上使用@PreAuthorize注解

在需要进行权限控制的方法上使用@PreAuthorize注解，可以在服务层使用也可以在控制层使用，在若依框架中在控制层使用，这里我们在服务层使用一下，如下所示。

import org.springframework.stereotype.Service;

@Service
public class DataReportService {

    @PreAuthorize("@ss.hasPermi('manage:dataReportTable:list')")
    public void listDataReportTable() {
        // 具体业务逻辑
    }
}

总结

@PreAuthorize 是 Spring Security 提供的用于方法级别权限控制的注解。在方法执行前进行权限检查。如果权限检查失败，将会抛出 AccessDeniedException。结合Spring 表达式语言（SpEL）提供了强大的表达式解析和执行功能，可以用于各种条件判断，来判断满足条件的调用逻辑。

当然在这个过程中我们还可以自定义检查方法，自定义的检查逻辑来进行权限的判断，最终实现对于方法调用权限的控制，当然这个权限的调用控制，我们可以将其放在服务层中也可以放在Controller调用层中。推荐还是放在Controller中，因为可以更加明确的标识那些方法需要哪些权限进行调用。