Spring Security 入门权限表达式控制URL权限

折挺

已于 2022-04-17 07:17:48 修改

阅读量467

点赞数

分类专栏： # Spring Security 文章标签： Spring security

于 2022-04-17 07:08:57 首次发布

本文链接：https://blog.csdn.net/tb9125256/article/details/124224345

版权

Spring Security 专栏收录该内容

14 篇文章 0 订阅

订阅专栏

配置资源授权，默认是不需要授权。现在访问/say是要有权限aa的

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login/page")
                .loginProcessingUrl("/login")
                .and()
                .authorizeRequests()
                .antMatchers("/login/page").permitAll()
                .anyRequest().authenticated()
                //以上是认证的配置，以下是授权的配置
                //拥有 aa 权限的用户，可以访问任意请求方式的 /say
                .antMatchers("/say").hasAuthority("aa")
        ;
        http.csrf().disable();
    }
}

给devin用户的权限是ADMIN，并么有aa权限，因此/say是没有权限访问的。

@Slf4j
@Component
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    public PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //模拟用户可以在数据库查询到
        if ("devin".equals(username)) {
            return new User("devin", passwordEncoder.encode("1234"),
                    //这个给的权限标识符为 ADMIN
                    AuthorityUtils.commaSeparatedStringToAuthorityList("ADMIN"));
        }
        throw new UsernameNotFoundException("用户名输入错误");
    }
}

添加/say

@RestController
public class HelloController {

    @RequestMapping("hello")
    public String hell() {
        return "Hello World";
    }

    @RequestMapping("say")
    public String say() {
        return "say";
    }
}

登录访问：http://localhost:8080/hello
在这里插入图片描述
访问：http://localhost:8080/say 没有权限

@Configuration
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin()
                .loginPage("/login/page")
                .loginProcessingUrl("/login")
                .and()
                .authorizeRequests()
                .antMatchers("/login/page").permitAll()
                //拥有 aa 权限的用户，可以访问任意请求方式的 /say
                .antMatchers("/say").hasAuthority("aa") //配置权限
                .antMatchers("/run").hasRole("ADMIN") //配置角色
                .anyRequest().authenticated()
        ;
        http.csrf().disable();
    }
}

@Slf4j
@Component
public class CustomUserDetailService implements UserDetailsService {

    @Autowired
    public PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        //模拟用户可以在数据库查询到
        if ("devin".equals(username)) {
            return new User("devin", passwordEncoder.encode("1234"),
                    //这个给的权限标识符为 aa, 角色为ROLE_ADMIN（这里要注意加上前缀ROLE_标识是角色）
                    AuthorityUtils.commaSeparatedStringToAuthorityList("aa, ROLE_ADMIN"));
        }
        throw new UsernameNotFoundException("用户名输入错误");
    }
}

登录访问：http://localhost:8080/hello
在这里插入图片描述

登录访问：http://localhost:8080/say
在这里插入图片描述

登录访问：http://localhost:8080/run
在这里插入图片描述

可参考的权限表达式
在这里插入图片描述

折挺

关注

0
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
Spring Security 入门权限表达式控制URL权限

配置资源授权，默认是不需要授权。现在访问/say是要有权限aa的@Configurationpublic class SpringSecurityConfig extends WebSecurityConfigurerAdapter { @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protecte
复制链接

扫一扫