SpringSecurity[4]-访问控制url匹配/内置访问控制方法介绍/角色权限判断

上一篇:SpringSecurity[3]-自定义登录逻辑,自定义登录页面,以及认证过程的其他配置

链接:SpringSecurity[3]-自定义登录逻辑,自定义登录页面,以及认证过程的其他配置_豆虫儿的博客-CSDN博客

八、访问控制url匹配

在前面讲解了认证中所有常用配置，主要是对http.formLogin()进行操作。而在配置类中 http.authorizeRequests()主要是对url进行控制，也就是我们所说的授权（访问控制）。http.authorizeRequests()也支持连缀写法，总体公式为：

url匹配规则.权限控制方法

通过上面的公式可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。

在所有匹配规则中取所有规则的交集。配置顺序影响了之后授权效果，越是具体的应该放在前面，越是笼统的应该放到后面。

1.anyRequest()

在之前认证过程中我们就已经使用过anyRequest()，表示匹配所有的请求。一般情况下此方法都会使用，设置全部内容都需要进行认证。

代码示例:

anyRequest().authenticated();

2.antMatcher()

方法定义如下：

public C antMatchers(String... antPatterns)

参数是不定向参数，每个参数是一个ant表达式，用于匹配URL规则。

规则如下：

1. ? 匹配一个字符
2. * 匹配0个或多个字符
3. ** 匹配0个或多个目录

在实际项目中经常需要放行所有静态资源，下面演示放行js文件夹下所有脚本文件。

.antMatchers("/js/**").permitAll()

还有一种配置方式是只要是.js文件都放行

antMatchers("/**/*.js").permitAll()

3.regexMatchers()

3.1介绍

使用正则表达式进行匹配。和antMatchers()主要的区别就是参数，antMatchers()参数是ant表达式，regexMatchers()参数是正则表达式。

演示所有以.js结尾的文件都被放行。

.regexMatchers(".+[.]js").permitAll()

3.2两个参数时使用方式

无论是antMatchers()还是regexMatchers()都具有两个参数的方法，其中第一个参数都是HttpMethod，表示请求方式，当设置了HttpMethod后表示只有设定的特定的请求方式才执行对应的权限设置。

枚举类型HttpMethod内置属性如下：

九、内置访问控制方法介绍

Spring Security匹配了URL后调用了permitAll()表示不需要认证，随意访问。在Spring Security中提供了多种内置控制。

1.permitAll()

permitAll()表示所匹配的URL任何人都允许访问。

2.authenticated()

authenticated()表示所匹配的URL都需要被认证才能访问。

3.anonymous()

anonymous()表示可以匿名访问匹配的URL。和permitAll()效果类似，只是设置为anonymous()的url会执行filter 链中

官方源码定义如下：

4.denyAll()

denyAll()表示所匹配的URL都不允许被访问。

5.rememberMe()

被“remember me”的用户允许访问

6.fullyAuthenticated()

如果用户不是被remember me的，才可以访问。

十、角色权限判断

除了之前讲解的内置权限控制。Spring Security中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后，判断用户是否具有特定的要求。

1.hasAuthority(String)

判断用户是否具有特定的权限，用户的权限是在自定义登录逻辑中创建User对象时指定的。

下图中admin就是用户的权限。admin严格区分大小写。

在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。

.antMatchers(**"/main1.html"**).hasAuthority(**"admin"**)

2.hasAnyAuthority(String ...)

如果用户具备给定权限中某一个，就允许访问。

下面代码中由于大小写和用户的权限不相同，所以用户无权访问/main1.html

.antMatchers("/main1.html").hasAnyAuthority("adMin","admiN")

3.hasRole(String)

如果用户具备给定角色就允许访问。否则出现403。

参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。

在给用户赋予角色时角色需要以：ROLE_ 开头，后面添加角色名称。例如：ROLE_abc 其中abc是角色名，ROLE_是固定的字符开头。使用hasRole()时参数也只写abc即可。否则启动报错。

给用户赋予角色：

在配置类中直接写abc即可。

4.hasAnyRole(String ...)

如果用户具备给定角色的任意一个，就允许被访问

5.hasIpAddress(String)

如果请求是指定的IP就运行访问。

可以通过request.getRemoteAddr()获取ip地址。

需要注意的是在本机进行测试时localhost和127.0.0.1输出的ip地址是不一样的。

当浏览器中通过localhost进行访问时控制台打印的内容：

当浏览器中通过127.0.0.1访问时控制台打印的内容：

当浏览器中通过具体ip进行访问时控制台打印内容：

使用Spring Security时经常会看见403（无权限），默认情况下显示的效果如下：

而在实际项目中可能都是一个异步请求，显示上述效果对于用户就不是特别友好了。Spring Security支持自定义权限受限。

1.新建类

新建类实现AccessDeniedHandler

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);
        httpServletResponse.setHeader("Content-Type","application/json;charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        out.write("{\"status\":\"error\",\"msg\":\"权限不足，请联系管理员!\"}");
        out.flush();
        out.close();
    }
}

2.修改配置类

配置类中重点添加异常处理器。设置访问受限后交给哪个对象进行处理。

myAccessDeniedHandler是在配置类中进行自动注入的。

//异常处理
http.exceptionHandling()
        .accessDeniedHandler(myAccessDeniedHandler);

十二、基于表达式的访问控制