SpringBoot+SpringSecurity实现权限控制

上一篇文章已经实现了SpringBoot+SpringSecurity查询数据库自定义登录，接下来要实现权限控制。继续修改config(HttpSecurity http)方法：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
            .loginPage("/toLogin")
            .loginProcessingUrl("/log")
            .defaultSuccessUrl("/main")
            .failureForwardUrl("/failed")
            .permitAll()
            .and()
            .authorizeRequests()
            .antMatchers("/", "/index", "/login", "/css/*", "/js/*", "/img/*")
            .permitAll()
            .antMatchers("/emps").hasAuthority("root")
            .anyRequest()
            .authenticated()
            .and().csrf().disable();
}

其中的antMatchers("/emp").hasAnyRole("root")表示/emps请求（包括/emps/*这种请求）必须要有root权限才能请求成功。与hasAuthority方法类似的还要hasAnyAuthority、hasRole、hasAnyRole。hasAnyAuthority方法的参数值中的字符串是多个权限，以逗号隔开，表示只要该用户有其中一个权限就可以请求。hasRole与hasAnyRole也是类似的，只不过SpringSecurity中做权限判断时会加上前缀：ROLE_。如果没有权限，会自动跳到SpringSecurity的默认403页面。

前端也可以通过themeleaf-springsecurity来实现权限控制，如果没有特定权限，不显示特定内容。首先引入相关依赖：

<!-- https://mvnrepository.com/artifact/org.thymeleaf.extras/thymeleaf-extras-springsecurity5 -->
<dependency>
    <groupId>org.thymeleaf.extras</groupId>
    <artifactId>thymeleaf-extras-springsecurity5</artifactId>
    <version>3.0.4.RELEASE</version>
</dependency>

然后在html中引入命名空间：

<html lang="en" xmlns:th="http://www.thymeleaf.org"
  xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity4">

如果想让root角色的用户看到相关内容，通过sec:authorize标签来实现：

<div sec:authorize="hasAnyRole('root')">
  <a class="btn btn-sm btn-primary" th:href="@{'/emps/toUpdate/' + ${emp.getId()}}">编辑</a>
  <a class="btn btn-sm btn-danger" th:href="@{'/emps/delete/' + ${emp.getId()}}">删除</a>
</div>

这里的hasAnyRole与后端的hasAnyRole方法是一个意思。

为了自定义403页面，可以在config(HttpSecurity http)中加上语句：

http.exceptionHandling().accessDeniedPage("/nopermission");

其中的/nopermissio是一个请求名，再写个相应的controller就可以跳转到自定义的403页面。