聊聊 spring boot 后端大家如何玩权限？

因为我司前端技术储备不太够，所以前端除了 css 其他工作由我们几个后端来，有时候工期比较紧张的话就用 thymeleaf 了，不熟悉 webpack 的配置容易在上线的时候出点幺蛾子（半夜想睡的时候想 kill 人）

自定义 filter ,可以从 header 里面获取 token，也可以支持 session。或者直接所有的都使用 cookie，小程序和 app 应该都支持 cookie 的，引入 Spring Session 也支持分布式的。

@zhenjiachen ios 不支持 cookie

这种情况 redis 存 token 再适合不过了

我是自己实现了一个 HttpSessionIdResolver 来让 CookieHttpSessionIdResolver 和 HeaderHttpSessionIdResolver 自动选择：

```
import java.util.Arrays;
import java.util.Collections;
import java.util.List;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.http.MediaType;
import org.springframework.security.web.util.matcher.MediaTypeRequestMatcher;
import org.springframework.security.web.util.matcher.OrRequestMatcher;
import org.springframework.security.web.util.matcher.RequestHeaderRequestMatcher;
import org.springframework.security.web.util.matcher.RequestMatcher;
import org.springframework.session.web.http.CookieHttpSessionIdResolver;
import org.springframework.session.web.http.HeaderHttpSessionIdResolver;
import org.springframework.session.web.http.HttpSessionIdResolver;
import org.springframework.web.accept.ContentNegotiationStrategy;

public class SmartHttpSessionIdResolver implements HttpSessionIdResolver {

protected final HttpSessionIdResolver browser;

protected final HttpSessionIdResolver api;

private final RequestMatcher browserMatcher;

public SmartHttpSessionIdResolver(
ContentNegotiationStrategy contentNegotiationStrategy) {
this.browser = new CookieHttpSessionIdResolver();
this.api = HeaderHttpSessionIdResolver.xAuthToken();

MediaTypeRequestMatcher matcher = new MediaTypeRequestMatcher(
contentNegotiationStrategy, Arrays.asList(MediaType.TEXT_HTML));
matcher.setIgnoredMediaTypes(Collections.singleton(MediaType.ALL));

RequestHeaderRequestMatcher javascript = new RequestHeaderRequestMatcher(
"X-Requested-With", "XMLHttpRequest");

this.browserMatcher = new OrRequestMatcher(
Arrays.asList(matcher, javascript));
}

/**
* {@inheritDoc}
*/
@Override
public List<String> resolveSessionIds(HttpServletRequest request) {
return getResolver(request).resolveSessionIds(request);
}

/**
* {@inheritDoc}
*/
@Override
public void setSessionId(HttpServletRequest request, HttpServletResponse response, String sessionId) {
getResolver(request).setSessionId(request, response, sessionId);
}

/**
* {@inheritDoc}
*/
@Override
public void expireSession(HttpServletRequest request, HttpServletResponse response) {
getResolver(request).expireSession(request, response);
}

protected HttpSessionIdResolver getResolver(HttpServletRequest request) {
return this.browserMatcher.matches(request) ? this.browser : this.api;
}

}
```

@From313 不可能吧，cookie 和 token 都是存在本地，然后请求的时候放在 header 里面啊，没有什么支不支持。把 cookie 当成 token 来用也是一样的。

@zhenjiachen 所说的不支持 cookie 应该是没有像浏览器这样方便，需要自己使用代码处理一下

用过 cookie 和 session，好像还是 cookie 用的多一些
顺便想问问 前后端分离的情况下 前端页面 访问如何做权限管理

说道权限，顺道问一问各位数据权限该怎么做
就是员工只能看自己处理的订单，经理可以看所有人的订单这样的
琢磨了半天没什么头绪

脚手架都集成了 oauth2.0 吧，通用且方便集成，用就完了，熟了也快，少了很多选择的烦恼。
权限，其实没有太好的办法，毕竟很多都是自由配置的。多套 service，自定义注解控制访问权限，避免提权攻击。

@dejavuwind token，请求头里携带

@meanhow #9 这是你的业务逻辑， 还是在业务代码中解决吧

@dejavuwind 后端做权限不就可以了？是否登录，用户类型，token 加 sql 基本都能解决吧，

@meanhow 思路就太多了；接口分开，经理一个，员工一个；一个接口的话判断用户权限，如果是员工的话查询条件加上员工 ID ；。。。

自己造轮子，spring security 真的是一言难尽

@meanhow 前端所有的权限包括路由都从后端接口获取

@meanhow 订单表加个员工 id，员工只查自己的 od 的订单，经理不带条件

spring security 可以支持 thymeleaf 和 restful 的

@shazh520 这个是框架安全上设计的考虑，与用不用 Spring Security 没太大关系。

1. 如果 Web (Themleaf)页面 与 API 是一个程序，可以考虑多个 Spring Security Config，用 Order 排序。
如：
@Bean
@Order(0)
httpConfigbean 对应 pathMatcher("/web")使用常规 Web 设置。

@Bean
httpConfigbean 对应 pathMatcher("/api")使用 API 设置，可以无状态也可有状态与前者共享 Session.

2. 如果纯后端 API，直接使用通用 API 安全方案。OAuth2，JWT，SpringSession 等。
客户端（ SPA，WebMVC/Themleaf，Mobile APP 等）交互都一样， 用相应的 Http Client 与 API 交互。

从开发维护的角度，第二种比较也容易扩展。

@zhazi 都支持，但不同时支持，只能用其一