2.3 方法授权实现
2.3.1资源服务添加授权控制
1、要想在资源服务使用方法授权,首先在资源服务配置授权控制
1)添加spring-cloud-starter-oauth2依赖。
2)拷贝授权配置类ResourceServerConfig。
3)拷贝公钥。
2.3.2方法上添加注解
通常情况下,程序员编写在资源服务的controller方法时会使用注解指定此方法的权限标识。
1、查询课程列表方法 指定查询课程列表方法需要拥有course_find_list权限。
@PreAuthorize("hasAuthority('course_find_list')") @Override
public QueryResult<CourseInfo> findCourseList(@PathVariable("page") int page,
@PathVariable("size") int size,
CourseListRequest courseListRequest)
2、查看课程基本信息方法
指定查询课程基本信息方法需要拥有course_get_baseinfo权限。
@PreAuthorize("hasAuthority('course_get_baseinfo')")
@Override public CourseBase getCourseBaseById(@PathVariable("courseId") String courseId)
3、在资源服务(这里是课程管理)的ResourceServerConfig类上添加注解,激活方法上添加授权注解
//激活方法上的PreAuthorize注解
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
2.4 方法授权测试
重启课程管理服务,测试上边两个方法。
使用postman测试,测试前执行登录,并且将jwt令牌添加到header。
1)Get 请求 http://www.xuecheng.com/api/cour ... 45f01617f9dabc40000 用户拥有course_get_baseinfo权限,可以正常访问
2) Get请求 http://www.xuecheng.com/api/course/coursebase/list/1/2
由于用户没有查询课程列表方法的权限,所以无法正常访问,其它方法可以正常访问。
控制台报错:
org.springframework.security.access.AccessDeniedException: 不允许访问 说明:如果方法上没有添加授权注解spring security将不进行授权控制,只要jwt令牌合法则可以正常访问。
3)异常处理
上边当没有权限访问时资源服务应该返回下边的错误代码:
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
