Spring Security(六) Spring Security角色权限判断 及 自定义 403  处理方案

一、 角色权限判断

除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。

1 hasAuthority(String)

判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。

下图中 admin 就是用户的权限。admin 严格区分大小写。

在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。

.antMatchers( "/main1.html").hasAuthority( "admin")

2 hasAnyAuthority(String ...)

如果用户具备给定权限中某一个,就允许访问。

下面代码中由于大小写和用户的权限不相同,所以用户无权访问

/main1.html

.antMatchers( "/main1.html").hasAnyAuthority( "adMin", "admiN")

3 hasRole(String)

如果用户具备给定角色就允许访问。否则出现 403。

参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创建 User 对象时给 User 赋予的授权。

在给用户赋予角色时角色需要以:ROLE_ 开头,后面添加角色名称。例如:ROLE_abc 其中 abc 是角色名,ROLE_是固定的字符开头。使用 hasRole()时参数也只写 abc 即可。否则启动报错。

给用户赋予角色:

在配置类中直接写 abc 即可。

4 hasAnyRole(String ...)

如果用户具备给定角色的任意一个,就允许被访问

5 hasIpAddress(String)

如果请求是指定的 IP 就运行访问。

可以通过 request.getRemoteAddr()获取 ip 地址。

需要注意的是在本机进行测试时 localhost 和 127.0.0.1 输出的 ip地址是不一样的。

当浏览器中通过 localhost 进行访问时控制台打印的内容:

当浏览器中通过 127.0.0.1 访问时控制台打印的内容:

当浏览器中通过具体 ip 进行访问时控制台打印内容:

二、 自定义 403  处理方案

使用 Spring Security 时经常会看见 403(无权限),默认情况下显示的效果如下:

而在实际项目中可能都是一个异步请求,显示上述效果对于用户就不是特别友好了。Spring Security 支持自定义权限受限。

1 新建类

新建类实现 AccessDeniedHandler

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
	@Override
	public  void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException,
	ServletException {
		httpServletResponse.setStatus(HttpServletResponse. SC_FORBIDDEN );
		httpServletResponse.setHeader( "Content-Type", "application/json;charset=utf-8");
		PrintWriter out = httpServletResponse.getWriter();
		out.write( "{\"status\": \"error\", \"msg\":\"权限不足请联系管理员!!\"}");
		out.flush();
		out.close();
	}
}

2 修改配置类

配置类中重点添加异常处理器。设置访问受限后交给哪个对象进行处理。

myAccessDeniedHandler 是在配置类中进行自动注入的。

//异常处理
http.exceptionHandling()
   .accessDeniedHandler( myAccessDeniedHandler);

 

评论将由博主筛选后显示,对所有人可见 | 还能输入1000个字符 “速评一下”
©️2020 CSDN 皮肤主题: 数字20 设计师:CSDN官方博客 返回首页