整体思路:
把请求的url 与 在ums_resource 资源表中定义的资源进行匹配:
1. 没有匹配上,说明当前请求的url 没有在需要控制的资源中,直接放行
2. 匹配上。
2.1 然后,将当前URL匹配上的资源,与当前用户的角色分配的资源进行匹配。如果当前用户角色分配的资源包含当前URL匹配的资源,可以访问当前URL。
代码分析:
SecurityConfig类,filterChain方法中 配置 dynamicSecurityFilter 动态权限校验过滤器
dynamicSecurityFilter类,doFilter方法中 对OPTIONS请求和白名单请求 直接进行放行,并调用 super.beforeInvocation 方法。
super.beforeInvocation 方法中需要用到自己重写的 DynamicSecurityMetadataSource类,getAttributes方法,用来获取当前请求URL匹配的资源。
super.beforeInvocation 方法 会调用 自己写的 DynamicAccessDecisionManager类的decide 方法,进行URL匹配的资源与当前用户拥有的角色上分配的资源进行匹配。