静态类在Spring Security中的权限控制

在Spring Security中，静态类的权限控制可以通过配置访问控制列表（ACL）或使用注解来实现。以下是两种方法的详细说明：

1. 配置访问控制列表（ACL）：

首先，你需要为静态类创建一个对应的ACL。这可以通过继承PermissionEvaluator接口并实现hasPermission方法来完成。例如：

public class CustomPermissionEvaluator implements PermissionEvaluator {
    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        // 实现你的权限控制逻辑
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        // 实现你的权限控制逻辑
    }
}

接下来，你需要在Spring Security配置类中注册这个自定义的权限Evaluator：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private CustomPermissionEvaluator customPermissionEvaluator;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/static/**").access("hasPermission(#target, 'StaticResource', #permission)")
                .anyRequest().authenticated();
    }

    @Bean
    public MethodSecurityExpressionHandler expressionHandler() {
        DefaultMethodSecurityExpressionHandler handler = new 
        DefaultMethodSecurityExpressionHandler();
        handler.setPermissionEvaluator(customPermissionEvaluator);
        return handler;
    }
}

现在，你可以使用@PreAuthorize或@PostAuthorize注解来控制对静态类的访问权限：

@Controller
public class StaticResourceController {

    @GetMapping("/static/{resource}")
    @PreAuthorize("hasPermission(#resource, 'StaticResource', #request.method)")
    public ResponseEntity<String> getResource(@PathVariable String resource) {
        // 返回静态资源内容
    }
}

2. 使用注解：

另一种方法是使用Spring Security提供的@PreAuthorize或@PostAuthorize注解来控制对静态类的访问权限。例如：

@Controller
public class StaticResourceController {

    @GetMapping("/static/{resource}")
    @PreAuthorize("hasRole('ROLE_USER') and hasPermission(#resource, 'StaticResource')")
    public ResponseEntity<String> getResource(@PathVariable String resource) {
        // 返回静态资源内容
    }
}

在这个例子中，我们要求用户具有ROLE_USER角色并且具有访问静态资源的权限。你可以根据需要调整这些条件。