目录
-
自定义配置类之访问权限
- http.authorizeRequests()主要是对url进行访问权限控制
- 通过这个方法来实现url授权操作
- 支持链式写法
-
匹配顺序规则
- 在所有匹配规则中取所有规则的交集
- 配置顺序影响了之后授权效果
- 越是具体的应该放在前面,越是笼统的应该放到后面
-
访问控制包含
- 访问控制url匹配
- 访问控制方法
- 角色判断
- 权限判断
-
访问控制url匹配
- anyRequest()
- 表示匹配所有的url请求
- antMatcher(String regx)
- 传递一个ant表达式参数,表示匹配所有满足ant表达式的请求
- ant表达式中特殊字符解释
- antMatcher(HttpMethod.*, String regx)
- 传递一个请求方法类型参数加ant表达式参数,表示匹配所有满足ant表达式的指定请求方式的url
- regexMatchers(String regexPattern)
- 传递一个参数使用正则表达式进行匹配
- 和antMatchers()主要的区别就是参数,antMatchers()参数是ant表达式,而regexMatchers()参数是正则表达式
- 演示案例: 使用正则表达式放行一个名称以demo结尾的js文件,让用户可以匿名访问
- regexMatchers(HttpMethod.*, String regexPattern)
- 演示案例: 使用正则表达式放行一个名称以demo结尾的js文件,让用户可以通过get请求匿名访问
-
访问控制方法
-
角色、权限判断
- 预置了两个用户,给用户也设置了权限, 现在用这两个用户来演示一下角色和权限的访问控制
- hasRole()
- 演示案列: 具有admin权限的用户才可以访问role.html
- hasAnyRole()
- hasAuthority()
- hasAnyAuthority()
- access()
- 上面实现的访问控制的方法都可以使用access()来代替,因为他们本质上都是调用了access()
-
使用注解进行角色权限控制
- 首先如果要启动spring security提供的角色权限注解的话,需要在配置类上添加@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)注解
- 这样才能开启@Secured和@PreAuthorize注解
- @Secured注解的使用
- 判断是否具有角色权限,匹配的字符串需要添加前缀“ROLE_角色权限”
- 作用:在用户向浏览器发送一个请求时会去访问控制器中的方法,然后在访问此控制器中的方法之前会先去UserDetailsService用户细节实现类的实现方法中return的User对象查看是否具有@Secured注解中指定的角色
- 如果有指定的角色,那么系统允许用户访问此控制器方法,否则,系统不允许访问此控制器方法
- @PreAuthorize注解的使用
- 进入方法之前进行角色权限认证
- 作用:在浏览器发送一个请求后,会访问控制器中的对应的方法,@PreAuthorize注解 会在访问控制器中的方法之前进行权限认证,看看UserDetailsService用户细节实现类中对应的用户有没有相应的权限,如果有那么该用户发送的请求可以进入控制器中对应的方法,如果没有相应的权限,那么用户发送的请求不能进去控制器中对应的方法;
- @PostAuthorize注解的使用
- 方法执行之后再判断用户的角色权限
- 响应结果获取到"in",匹配,说明权限可以访问
- 响应结果获取到"out",不匹配,说明权限不足, 抛出403异常
- 作用:在访问控制器中的相关方法之后(方法的return先不访问),进行权限认证,去看看UserDetailsService用户细节实现类中用户是否有对应的权限,如果有的话,那么控制器方法的最后一句return语句会执行,否则,控制器方法的最后一句return语句不会执行;