自学内容网 自学内容网
自学内容网 > 正文

Spring Security框架如何授权

🕗 发布于 2024-07-25 17:02 spring  java  

一、授权

授权的方式包括 web授权和方法授权

  • web授权是通过 url 拦截进行授权,重点学习内容

  • 方法授权是通过方法拦截进行授权,通过注解的方式控制权限,粒度小,耦合度高

1、WEB授权
(1)、案例

我们可以做个例子,演示一下

1.准备工作,修改HelloController,增加两个方法 (根据hello方法复制后修改即可),主要是为了方便后边进行测试

@RequestMapping("/hello/user")
public String helloUser(){
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    String name = authentication.getName();
    return "hello-user  "+name;
}


@RequestMapping("/hello/admin")
public String helloAdmin(){
    Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
    String name = authentication.getName();
    return "hello-admin  "+name;
}

2.修改 SecurityConfig 的securityFilterChain方法 ,添加对以上两个地址的角色控制

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

    http.formLogin()             //自定义自己编写的登陆页面
        .loginPage("/login.html")    //登录页面设置
        .loginProcessingUrl("/login") //登录访问路径
        .permitAll()//登录页和登录访问路径无需登录也可以访问
        .and()
        .authorizeRequests()
        .antMatchers("/css/**","/images/**").permitAll()
        .antMatchers("/hello/user").hasRole("USER")
        .antMatchers("/hello/admin").hasAnyRole("ADMIN")
        .anyRequest().authenticated()
        .and()
        .csrf().disable();    //关闭csrf防护
    return http.build();
}

3.测试

分别使用user和admin用户登录

  • user用户可以访问 /hello/user

  • admin用户可以访问 /hello/user/hello/admin

2、控制操作方法

上文只是将请求接口路径与配置的规则进行匹配,那匹配成功之后应该进行什么操作呢?Spring Security 内置了一些控制操作。

  • permitAll() 方法,所有用户可访问。

  • denyAll() 方法,所有用户不可访问。

  • authenticated() 方法,登录用户可访问。

  • anonymous() 方法,匿名用户可访问。

  • rememberMe() 方法,通过 remember me 登录的用户可访问。

  • fullyAuthenticated() 方法,非 remember me 登录的用户可访问。

  • hasIpAddress(String ipaddressExpression) 方法,来自指定 IP 表达式的用户可访问。

  • hasRole(String role) 方法, 拥有指定角色的用户可访问,传入的角色将被自动增加 “ROLE_” 前缀。

  • hasAnyRole(String... roles) 方法,拥有指定任意角色的用户可访问。传入的角色将被自动增加 “ROLE_” 前缀。

  • hasAuthority(String authority) 方法,拥有指定权限( authority )的用户可访问。

  • hasAnyAuthority(String... authorities) 方法,拥有指定任意权限( authority )的用户可访问。


原文地址:https://blog.csdn.net/susjj663/article/details/140623604

免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!

相关文章

  • 配置cobbler服务提供centos7安装源

    由RedHat公司基于python语言开发,作用:快速批量部署Linux系统。

    阅读更多2024-09-17
  • 【MySQL学习】基础指令全解:构建你的数据库技能

    本文详细介绍了SQL操作指令的各种基础和高级操作,帮助读者掌握SQL数据库技巧。

    阅读更多2024-09-17
  • OpenGL笔记二十一之几何类设计

    — 2024-09-16 下午。

    阅读更多2024-09-17
  • UiBot教程:实现复杂流程图的高效方法

    我们需要在两个流程块之间传递“字符串格式的系统时间”,所以最简单的方法就是在流程图中定义一个变量。举个例子,我们可以创建一个名为x的流程图变量,这样在流程图所包含的所有流程块中都可以直接使用这个变量。

    阅读更多2024-09-17
  • 12 数组——27. 移除元素 ★

    给你一个数组nums和一个值val,你需要原地移除所有数值等于val的元素,并返回移除后数组的新长度。

    阅读更多2024-09-17
  • 工资重回“3000块”时代

    3000元是一个心理价位,但实际上对于许多家庭来说,可能在县城生活,除了基本的生活开销,很难剩下更多的钱。也就是说,如果你的工作收入在这个“五千块定律”所设定的范围内,并且在三年内没有超过平均水平的涨

    阅读更多2024-09-17
  • 谷歌向安卓用户推出Gemini Live聊天机器人

    即使你的手机处于锁定状态,屏幕处于关闭状态,你也可以开始与助手交谈,而且还可以通过谷歌(Google)的新款Pixel Buds Pro 2无线耳机进行访问,这样你就可以在手机放在包里的时候免提通话。

    阅读更多2024-09-17
  • Linux进阶命令-sed&split

    sed(Stream Editor)是一个流编辑器,用于在文本流中进行文本替换和转换操作。它通常用于命令行环境下,可以接受标准输入(stdin)、文件内容或管道输入,并对文本进行修改或处理。

    阅读更多2024-09-17
  • RTMP直播播放器的几种选择

    在选择RTMP直播播放器时,需要根据具体的应用场景、平台兼容性、功能需求以及用户体验等因素进行综合考虑。同时,也可以参考其他用户的评价和专业评测来选择最适合的播放器。

    阅读更多2024-09-17
  • Linux套接字

    套接字是实现网络通信的核心组件,它提供了灵活且强大的接口,使得开发者能够轻松地在网络环境中构建复杂的应用程序。无论是TCP还是UDP协议,都可以通过适当的套接字类型来满足不同的通信需求.

    阅读更多2024-09-17
自学内容网
Copyright © 2015-2024