JAVA如何授权

授权方式

在Java中实现授权通常涉及多种方式，具体取决于应用场景和需求。以下是常见的授权方法：

基于角色的访问控制（RBAC）
通过定义角色（如ADMIN、USER）和权限，将用户分配到特定角色。Spring Security等框架支持RBAC模型，配置示例：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/admin/").hasRole("ADMIN")
            .antMatchers("/user/").hasAnyRole("USER", "ADMIN");
    }
}

基于注解的权限检查
使用@PreAuthorize或@Secured注解在方法级别控制访问：

@PreAuthorize("hasAuthority('DELETE_PRIVILEGE')")
public void deleteResource(Long id) {
    // 方法实现
}

OAuth2.0授权协议
适用于第三方应用访问资源的场景。Spring Security OAuth2提供支持：

@Configuration
@EnableAuthorizationServer
public class AuthServerConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
        clients.inMemory()
            .withClient("client-id")
            .secret("secret")
            .authorizedGrantTypes("authorization_code")
            .scopes("read");
    }
}

权限存储方案

数据库存储
设计用户、角色、权限关联表结构，通过查询验证权限。典型表结构包括：

• users（用户表）
• roles（角色表）
• permissions（权限表）
• 多对多关联表（如user_roles、role_permissions）

配置文件或内存存储
适用于简单场景，直接在配置中定义权限：

# application.yml
security:
  users:
    - username: admin
      password: encrypted123
      roles: ADMIN

动态权限控制

对于需要运行时变更权限的系统，可采用以下策略：

实现AccessDecisionVoter接口
自定义投票逻辑决定是否允许访问：

public class CustomVoter implements AccessDecisionVoter<FilterInvocation> {
    @Override
    public int vote(Authentication auth, FilterInvocation fi, Collection<ConfigAttribute> attrs) {
        // 自定义逻辑
        return ACCESS_GRANTED;
    }
}

实时查询权限服务
通过调用外部API或服务获取最新权限：

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .anyRequest().access("@permissionService.hasPermission(request, authentication)");
    return http.build();
}