一、内置访问控制方法介绍
Spring Security匹配了URL后调用了permitAll()表示不需要认证,随意访问。在Spring Security中提供了多种内置控制。
1.permitAll()
permitAll()表示所匹配的URL任何人都允许访问。
2.authenticated()
authenticated()表示所匹配的URL都需要被认证才能访问。
3.anonymous()
anonymous()表示可以匿名访问匹配的URL。和permitAll()效果类似,只是设置为anonymous()的url会执行filter 链中
官方源码定义如下:
4.denyAll()
denyAll()表示所匹配的URL都不允许被访问。
5.rememberMe()
被“remember me”的用户允许访问
6.fullyAuthenticated()
如果用户不是被remember me的,才可以访问。
二、角色权限判断
除了之前讲解的内置权限控制。Spring Security中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。
1.hasAuthority(String)
判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建User对象时指定的。
下图中admin就是用户的权限。admin严格区分大小写。
在配置类中通过hasAuthority(“admin”)设置具有admin权限时才能访问。
.antMatchers(**"/main1.html"**).hasAuthority(**"admin"**) 复制代码
2.hasAnyAuthority(String ...)
如果用户具备给定权限中某一个,就允许访问。
下面代码中由于大小写和用户的权限不相同,所以用户无权访问/main1.html
.antMatchers("/main1.html").hasAnyAuthority("adMin","admiN") 复制代码
3.hasRole(String)
如果用户具备给定角色就允许访问。否则出现403。
参数取值来源于自定义登录逻辑UserDetailsService实现类中创建User对象时给User赋予的授权。
在给用户赋予角色时角色需要以:ROLE_ 开头,后面添加角色名称。例如:ROLE_abc 其中abc是角色名,ROLE_是固定的字符开头。使用hasRole()时参数也只写abc即可。否则启动报错。
给用户赋予角色:
在配置类中直接写abc即可。
4.hasAnyRole(String ...)
如果用户具备给定角色的任意一个,就允许被访问
5.hasIpAddress(String)
如果请求是指定的IP就运行访问。
可以通过request.getRemoteAddr()获取ip地址。
需要注意的是在本机进行测试时localhost和127.0.0.1输出的ip地址是不一样的。
当浏览器中通过localhost进行访问时控制台打印的内容:
当浏览器中通过127.0.0.1访问时控制台打印的内容:
当浏览器中通过具体ip进行访问时控制台打印内容:
使用Spring Security时经常会看见403(无权限),默认情况下显示的效果如下:
而在实际项目中可能都是一个异步请求,显示上述效果对于用户就不是特别友好了。Spring Security支持自定义权限受限。
