授权简介
用户认证指的是不管是用户名密码,还是图形验证码,最终的目的都是让系统知道到底是谁在访问你的系统,解决的问题是:你是谁。
本篇文章的内容主要讲解你能在系统中做什么事情,针对这个有的叫做授权, 有的叫做鉴权, 还有的叫权限控制。最终的目的就是你能够在系统中做什么。
Spring Security对授权的定义
安全权限控制问题其实就是控制能否访问URL。
Spring Security授权原理
在我们应用系统里面,如果想要控制用户权限,需要有两部分数据:
- 系统配置信息:写着系统里面有哪些URL,每一个url拥有哪些权限才允许被访问。
- 用户权限信息:请求用户拥有的权限
- 系统用户发送一个请求:系统配置信息和用户权限信息作比对,如果比对成功则允许访问。
当一个系统授权规则比较简单,基本不变的时候,系统的权限配置信息可以写在我们的代码里面。比如前台门户网站等权限比较单一,使用简单的授权配置即可完成;如果权限复杂,例如办公OA,电商后台管理系统等就不能写在代码里面了,需要RBAC权限模型设计。
Spring Security授权
内置权限表达式
Spring Security 使用Spring EL来支持,主要用于Web访问和方法安全上,可以通过表达式来判断是否具有访问权限。
下面是Spring Security常用的内置表达式。ExpressionUrlAuthorizationConfigurer
定义了所有的表达式。
表达式 | 说明 |
---|---|
permitAll | 指定任何人都允许访问 |
denyAll | 指定任何人都不允许访问 |
anonymous | 指定匿名用户允许访问 |
rememberMe | 指定已记住的用户允许访问 |
authenticated | 指定任何经过身份验证的用户都允许访问,不包含anonymous |
fullyAuthenticated | 指定由经过身份验证的用户允许访问,不包含anonymous 和rememberMe |
hasRole(role) | 指定需要特定的角色的用户允许访问,会自动在角色前面插入ROLE_ |
hasAnyRole([role1,role2]) | 指定需要任意一个角色的用户允许访问,会自动在角色前面插入ROLE_ |
hasAuthority(authority) | 指定需要特定权限的用户允许访问 |
hasAnyAuthority([authority,authority]) | 指定需要任意一个权限的用户允许访问 |
hasIpAddress(ip) | 指定需要特定的IP地址可以访问 |