一、授权
授权的方式包括 web授权和方法授权
-
web授权是通过 url 拦截进行授权,重点学习内容
-
方法授权是通过方法拦截进行授权,通过注解的方式控制权限,粒度小,耦合度高
1、WEB授权
(1)、案例
我们可以做个例子,演示一下
1.准备工作,修改HelloController,增加两个方法 (根据hello方法复制后修改即可),主要是为了方便后边进行测试
@RequestMapping("/hello/user")
public String helloUser(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();String name = authentication.getName();return "hello-user "+name;
}@RequestMapping("/hello/admin")
public String helloAdmin(){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();String name = authentication.getName();return "hello-admin "+name;
}2.修改 SecurityConfig 的securityFilterChain方法 ,添加对以上两个地址的角色控制
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http.formLogin() //自定义自己编写的登陆页面.loginPage("/login.html") //登录页面设置.loginProcessingUrl("/login") //登录访问路径.permitAll()//登录页和登录访问路径无需登录也可以访问.and().authorizeRequests().antMatchers("/css/**","/images/**").permitAll().antMatchers("/hello/user").hasRole("USER").antMatchers("/hello/admin").hasAnyRole("ADMIN").anyRequest().authenticated().and().csrf().disable(); //关闭csrf防护return http.build();
}3.测试
分别使用user和admin用户登录
-
user用户可以访问
/hello/user -
admin用户可以访问
/hello/user、/hello/admin
2、控制操作方法
上文只是将请求接口路径与配置的规则进行匹配,那匹配成功之后应该进行什么操作呢?Spring Security 内置了一些控制操作。
-
permitAll() 方法,所有用户可访问。
-
denyAll() 方法,所有用户不可访问。
-
authenticated() 方法,登录用户可访问。
-
anonymous() 方法,匿名用户可访问。
-
rememberMe() 方法,通过 remember me 登录的用户可访问。
-
fullyAuthenticated() 方法,非 remember me 登录的用户可访问。
-
hasIpAddress(String ipaddressExpression) 方法,来自指定 IP 表达式的用户可访问。
-
hasRole(String role) 方法, 拥有指定角色的用户可访问,传入的角色将被自动增加 “ROLE_” 前缀。
-
hasAnyRole(String... roles) 方法,拥有指定任意角色的用户可访问。传入的角色将被自动增加 “ROLE_” 前缀。
-
hasAuthority(String authority) 方法,拥有指定权限( authority )的用户可访问。
-
hasAnyAuthority(String... authorities) 方法,拥有指定任意权限( authority )的用户可访问。
 "GaussDB关键技术原理:高性能(二)")