授权
基本说明
授权指的是给用户某个操作的权限;
常见的权限的访问控制一般是 基于rpac (Role-Based Access Control)的 访问控制;
Authentication 是springsecurity 中的非常重要的接口;能够获取登录用户的信息和授权的相关信息;
而授权的信息是通过 Collection<? extends GrantedAuthority> getAuthorities(); 此方法获取
GrantedAuthority 也只有一个返回Authority 的方法是一个字符串;
public interface GrantedAuthority extends Serializable {
String getAuthority();
}
这个字符串就是权限编码的信息;需要注意的是在springsecurity 中不管角色code 或权限code 都是从getAuthorities 方法获取。是不分区的,区分的标识只是看是否有 ROLE_ 这个前缀
比如 用户的授权信息是 [ “ROLE_USER”,“ROLE_ADMIN”, “user_edit”] 表示的是 具有USER 角色或ADMIN角色 权限和user_edit权限;
登录时查询权限信息
在自定义的 UserDetailService 查询用户信息的时候需要将授权信息也查询出来;
在之前章节的自定义的 MyUserDetails 是未处理授权的相关信息的,这里需要对授权信息的设置开发出来以便于设置权限和角色信息同时实现 getAuthorities 接口;
添加存储角色和权限的list
实现 getAuthorities 方法,注意角色的权限处理,需要加固定的前缀不然会当成普通的权限处理
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-nL1YgjvF-1646231858125)(C:\Users\Administrator\AppData\Roaming\Typora\typora-user-images\image-20220220221959597.png)]
在UserDetailsService 查询用户信息的时候设置权限信息
在这里给user 用户设置了user 角色和一些权限;
给admin 用户设置了admin角色和 一个权限;
当使用user用户登录后,通过打印授权信息,可以看到当前用户的授权code
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WacjkRDx-1646231858127)(C:\Users\Administrator\AppData