分享日常工作技术

由于Security对用户进行鉴权和授权是通过用户名去数据库中取权限，所以我们需要开发一个功能，这个功能就是通过username去数据库里查该用户所具备的所有权限。

在SecurityConfig配置类上添加开启用户授权的注解@EnableGlobalMethodSecurity(securedEnabled = true)将SecurityConfig配置类中的授权信息删掉即可。在需要被授权的Controller上添加授权的注解。

如果返回false，则页面提示http状态码为403，表示请求被拒绝。在SecurityService类中添加授权的逻辑（用户被授予的权限）：如果返回false，则页面提示http状态码为403，表示请求被拒绝。在SecurityService类中添加授权的逻辑（用户被授予的角色）在SecurityConfig配置类中设置访问资源的权限的逻辑。在SecurityConfig配置类中设置访问资源的角色的逻辑。

loginPage：设置登陆页面，当前案例登陆页面的位置是/resources/static/login.htmlloginProcessingUrl：设置登陆访问的路径（该路径固定，是Security自己定义好的controller，所以不要修改）defaultSuccessUrl：设置从login.html登陆成功之后跳转的路径，如果是从其他url访问，并且通过了认证，是不走这个 defaultSuccessUrl配置的路径的，直接跳转到当前访问的url

1.3、添加一个测试方法1.4、测试项目运行起来之后，控制台会生成一个密码，我们用这个密码登陆，用户名默认是user浏览器访问http://localhost:8080/test/hello，会自动跳转到登陆页面进行登陆登陆成功后（用户通过认证），可以正常请求接口地址浅试Security.zip

就拿支付宝来举例子，支付宝登陆成功后用户就可以使用转账、发红包、花呗、添加好友等功能，没有绑定银行卡是不可以转账的，花呗属于支付宝的资源，你需要向支付宝申请此功能才能去使用，当你申请成功才能拥有花呗功能，这个根据用户使用资源就是授权。--为什么需要授权？认证是保证了用户的合法性，而授权是为了细粒度的控制用户使用的“资源”，控制不同的用户使用不同的资源。