文章目录
SpringSecurity中基于角色或权限进行访问控制
1.在SpringSecurity配置类中的configure(HttpSecurity http)中的代码
上图中忘记了在hasAnyRole()的后面加上.anyRequest().authenticated(),正式开发中一定要加上;
.anyRequest()
.authenticated()
的作用,这两个方法的作用是,保证所有的请求都必须要经过登录验证,
antMatchers(请求).permitAll()中的请求除外,因为如果antMatchers方法后面调用的是permitAll方法那么antMatchers里面的请求就不用进行登录验证了;如果没有写.anyRequest().authenticated()那么只要不是类似于antMatchers(“请求”).hasRole(…)或者antMatchers(“请求”).hasAuthority(…)的请求都可以不登录验证,(换句话说只有类似于上面的请求才会进行登录验证)然后直接就可以访问了,我们在使用SpringSecurity的时候肯定不希望这个样子,所以一定要记得加上.anyRequest().authenticated()
四个方法的源码如下图:
如果把设置自定义验证登录和设置权限,角色的情况综合在一起是下图所示的情况:
2.UserDetailService实现类中的代码
UserDetailsService实现类中的情况如下图:
3.SpringSecurity配置类中的configure(AuthenticationManagerBuilder auth)方法
最后写认证管理方法如下图:
4.浏览器中的验证登录页面
浏览器中的验证登录页面如下图:
5.没有权限或角色的时候浏览器中的禁止页面
如果用户没有对应的权限或者是角色,也即是如果UserDetailsService的实现类中实现的方法return的User对象中没有相关的权限或者方法,那么会出现访问请求的时候,浏览器会出现如下图提示:
