概念
用户如果要访问某一个资源,我们要去检查用户是否具备这样的权限,如果具备就允许访问,如果不具备,则不允许访问
配置用户
可以通过在配置类中重写WebSecurityConfigurerAdapter中的UserDetailsService方法来添加用户,不知道其他配置的可以翻看之前的文章
@Override
@Bean
protected UserDetailsService userDetailsService() {
InMemoryUserDetailsManager manager = new InMemoryUserDetailsManager();
manager.createUser(User.withUsername("zhangsan").password("123").roles("admin").build());
manager.createUser(User.withUsername("lisi").password("12345").roles("user").build());
return manager;
}
准备测试接口
@GetMapping("/hello")
public String hello(){
return "hello";
}
@GetMapping("/admin/hello")
public String admin(){
return "admin";
}
@GetMapping("/user/hello")
public String user(){
return "user";
}
我们要实现所有登录用户均可访问/hello,admin用户可以访问/admin和/user,user可以访问/user
配置拦截规则
接下来我们来配置权限的拦截规则,在 Spring Security 的 configure(HttpSecurity http) 方法中,代码如下:
http.authorizeRequests()//开启配置
.antMatchers("/admin/**").hasRole("admin")
.antMatchers("/user/**").hasRole("user")
.anyRequest().authenticated()
- 如果请求路径满足 /admin/** 格式,则用户需要具备 admin 角色。
- 如果请求路径满足 /user/** 格式,则用户需要具备 user 角色。
- 剩余的其他格式的请求路径,只需要认证(登录)后就可以访问。
角色继承
要实现所有 user 能够访问的资源,admin 都能够访问,这涉及到另外一个知识点,叫做角色继承
上级可能具备下级的所有权限,如果使用角色继承,这个功能就很好实现,我们只需要在 SecurityConfig 中添加如下代码来配置角色继承关系即可:
@Bean
RoleHierarchy roleHierarchy() {
RoleHierarchyImpl hierarchy = new RoleHierarchyImpl();
hierarchy.setHierarchy("ROLE_admin > ROLE_user");
return hierarchy;
}
注意,在配置时,需要给角色手动加上 ROLE_ 前缀,上面的配置表示 ROLE_admin 自动具备 ROLE_user 的权限
测试
user身份登入
admin身份登入