最新版 Spring Security，该如何实现动态权限管理？

视频项目TienChin采用Spring Boot和Vue3技术栈已经杀青，涉及多项技术，旨在完成超过90%的项目完成率。松哥在之前的教程中讨论过动态权限管理，并在公众号“江南一点雨”提供了相关教程，现在随着Spring Boot的升级到3版本，Spring Security也升级到了6，带来了一些使用上的变化。

1. 权限开发思路

关于权限开发，有两种实现思路：一是在接口/Service层方法上添加权限注解，简单但权限硬编码；二是通过数据库描述请求和权限的关系，实现权限的动态查询和判断，这种方式更为灵活，允许通过管理页面进行修改，无需更改代码。

2. 具体实践

2.1 旧方案回顾

在旧方案中，松哥通过重写权限元数据收集类和决策器来实现动态权限。权限元数据类CustomFilterInvocationSecurityMetadataSource的getAttributes方法用于分析请求所需权限。决策器CustomUrlDecisionManager的decide方法用于对用户权限和请求权限进行决策。通过Bean后置处理器BeanPostProcessor将这两个配置类加入到Spring Security的拦截器中实现权限的动态决策。

2.2 新方案

在Spring Security6中，FilterSecurityInterceptor被AuthorizationFilter取代，旧方案不再适用。新方案简化了配置，使用SecurityFilterChain的securityFilterChain方法，通过lambda表达式直接在授权请求中实现权限的匹配和决策。核心思路保持不变，但更符合前后端分离的趋势。