SpringSecurity——Web权限方案用户授权（基于角色访问控制）

在Spring Security中，用户授权也可以基于角色进行访问控制，通过为用户分配特定的角色来限制其对资源的访问。用户需要拥有特定的角色才能访问受保护的资源。

详细步骤如下：

1. 配置角色：定义不同的角色，例如"ROLE_ADMIN"和"ROLE_USER"。

2. 配置资源访问规则：配置哪些资源需要哪些角色才能访问。

代码如下：

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasRole("USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .and()
            .httpBasic();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
            .withUser("admin")
            .password(passwordEncoder().encode("admin123"))
            .roles("ADMIN")
            .and()
            .withUser("user")
            .password(passwordEncoder().encode("user123"))
            .roles("USER");
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在上面的代码中，通过 configure() 方法配置了基于角色的用户授权。指定了不同URL路径需要的角色权限，例如"/admin/“路径需要"ADMIN"角色，”/user/"路径需要"USER"角色。在 configure() 方法中，配置了两个用户信息，一个是具有"ADMIN"角色的"admin"用户，另一个是具有"USER"角色的"user"用户。

通过这样的配置，Spring Security会根据用户拥有的角色来限制其对资源的访问。只有拥有相应角色的用户才能访问受保护的资源，否则将被拒绝访问。这种方式可以实现基于角色的用户授权需求。