SpringBoot Security基本使用二

前言

Spring Security除了自定义对路径的保护外，还可以使用security annotation做方法级别的保护，或者在WebSecurityConfigurerAdapter实现类里对某一资源做保护。这种方式优点是启用比较简单，缺点是访问权限写死在代码里，不够灵活。

一、 Spring Security方法级别的保护

Spring Security从2.0开始，提供了安全级别的安全支持，写一个类继承WebSecurityConfigurerAdapter，并加上@EnableGlobalMethodSecurity(prePostEnabled = true)注解。开启方法级别的保护。

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
...
}

prePostEnabled：决定@ PreAuthorize(进入方法前进行权限认证)和@ PostAuthorize(进入方法后进行权限认证)是否可用。一般来说，只会用到prePostEnabled，因为@ PreAuthorize和@ PostAuthorize更适合方法级别的安全控制，并且支持EL表达式。其中@ PreAuthorize更多。

@RestController
@RequestMapping("/api/users")
public class UserController extends DeepflowAbstractController<User, UserDto> {

    @Inject
    private UserService userService;

    @PreAuthorize("hasAnyRole('ADMIN','USER')")
    @GetMapping("/phoneNumber")
    public List<UserDto> getUser(@RequestParam("phoneNumber") List<String> phoneNumber) {
        return userService.findUserByPhoneNumbers(phoneNumber);
    }
}

访问getUser方法ROLE_ADMIN和USER权限至少一个。

二、 对资源访问进行权限控制

在WebSecurityConfigurerAdapter的继承类里重写configure方法。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
    // 匹配的这些资源允许所有人访问
    .antMatchers("/login", "/login-error", "/401", "/css/**", "/js/**").permitAll()//
    .antMatchers("/api/roles/**").hasAnyRole("ADMIN")//
    .anyRequest().authenticated() // 剩下所有的请求，都要进行授权访问校验
    .and().formLogin()//
    .loginPage("/login") // 指令表单登录页面，否则使用默认的
    .failureUrl("/login-error") // 同上
    .and()//
    .exceptionHandling()//
    .accessDeniedPage("/401")//
    .and()//
    .logout()//
    .logoutUrl("/logout")//
    .logoutSuccessUrl("/login");
}

如果用户想要访问/api/role/路径下的api的话，需要有ROLE_ADMIN权限。