授权控制
授权包括web授权、方法注解授权。
web授权
SpringSecurity通过http.authorizeRequests()对web请求(URL访问)进行授权保护。
一、请求匹配
1、antMatchers("/login","/getver"):匹配到的请求。此时实际上访问这些路径的用户为匿名用户anonymousUser,其权限列表为[ROLE_ANONYMOUS]。
antMatchers中可以添加多个字符串,每个字符串支持?(单个字符)、*(0或任意个字符)、**(0或更多的目录)三种通配符。
regexMatchers()为正则表达式匹配。
antMatchers("/js/**","/css/**"):静态资源
antMatchers("/**/*.jpg"):所有JPG图片
2、anyRequest():表示所有请求。
二、匹配请求的处理/控制
常用的包括以下:
1、permitAll():允许匹配到的请求通过
2、denyAll():匹配的请求禁止访问
3、authenticated():匹配到的请求认证后方可访问(必须登录)
4、hasIpAddress():匹配到的请求其IP地址满足条件方可访问
5、hasRole():用户拥有哪些角色才可访问,类似的有hasAnyRole
6、hasAuthority:用户拥有哪些权限才可访问hasAnyAuthority