Spring Security的授权,相对于认证来说,使用上比较简单。
一、工程中使用Spring Security的步骤:
第一步、工程依赖中引入依赖包。
第二步、继承WebSecurityConfigurerAdapter,使用@Configuration、@EnableWebSecurity声明这是一个配置文件,启用Spring Security的WebSecurity功能。
第三步、注册认证相关类(密码的编码解码器、UserDetailsService实现)。
第四步、重载config,配置AuthenticationManagerBuilder,使用注册的认证相关类。
第五步、重载config,配置HttpSecurity,开始认证和授权的配置。
二、身份认证(Authentication)
身份证,存在各种特殊的需求。Spring Security允许我们做各种扩展,只要在过滤器链上加入认证方法,然后在HttpSecurity配置中加入即可。
三、授权(authorization)
Spring Security的授权,在使用上可以有下列情况:
1、不做任何限制
http.authorizeRequests().anyRequest().permitAll();
2、指定路径放行,其余需要认证才放行
http.authorizeRequests()
.antMatchers("/login").permitAll()
.anyRequest().