基于角色或权限进行访问控制
开始吧
1、 通过 HttpSecurity 对象设置资源的角色要求
这回我把整个类拿过来,直接看注释就好了。很详细了!
测试目的:访问被拒绝后看到 403 错误页面!
/**
* 继承WebSecurityConfigurerAdapter这个类。这个类中有Security的一些默认配置。
* 如果不继承,启动服务器会报错:No bean named 'springSecurityFilterChain' available
* 注意:这个类一定要被扫描到
*/
@Configuration //标注此类未Spring的配置类,基于注解的。和xml一样一样的。
@EnableWebSecurity //注解表示启用Web安全功能。以后会接触到很多@EnableXxx 注解,用来启用对应的功能。
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
//重写configure方法进行配置
@Override
protected void configure(HttpSecurity httpSecurity) throws Exception {
httpSecurity
//配置入口
.authorizeRequests() //对请求进行授权
.antMatchers("index.jsp","/layui/**") //针对 /index.jsp以及layui下的内容进行授权(对哪些资源开放)
.permitAll() //授权的级别:可以无条件访问(开放的级别)
//以下是用来设置拥有什么角色才能访问什么资源
.antMatchers("/level1/**") //设置匹配/level1/**的地址
.hasRole("学徒") //要求具备“学徒”角色
.antMatchers("/level2/**")
.hasRole("大师")
.antMatchers("/level3/**")
.hasRole("宗师")
.anyRequest() //任意请求
.authenticated() //需要登陆后才可以访问(如果此句代码和上句代码先调用,会把前面设置的角色代码的设置覆盖,导致角色代码无效。所以要 先做具体小范围设置,再做大范围模糊设置。)
//以下是用户登录方法实现
.and()
.formLogin() //设置未授权请求跳转到登录页面
.loginPage("/index.jsp") //指定登录页面
.loginProcessingUrl("/do/login.html") //loginProcessingUrl()方法指定了登录地址,就会覆盖 loginPage()方法中设置的默认值 /index.jsp POST
.permitAll() //为登录页面设置所有人都可以访问
.usernameParameter("loginAcct") //定制登录账号的请求参数名
.passwordParameter("userPswd") //定制登录密码的请求参数名
.defaultSuccessUrl("/main.html") //设置登录成功后默认前往的 URL 地址
//以下是用户注销方法实现
.and()
.csrf()
.disable() //禁用CSRF功能
.logout() //开启退出功能
.logoutUrl("/do/logout.html") //指定处理退出请求的URL地址
.logoutSuccessUrl("/index.jsp") //退出成功后前往的 URL 地址
;
}
//重写另外一个父类的方法,来设置登录系统的账号密码(单机版,不走数据库)
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//super.configure(auth);禁用默认规则
auth
//配置入口
.inMemoryAuthentication() //在内存身份验证(单机版,不走数据库)
//设置第一个用户
.withUser("zhou") //设置登录账号
.password("123") //设置登录密码
.roles("ADMIN") //设置角色
//设置第二个用户
.and()
.withUser("qiong") //设置另一个登录账号
.password("234") //设置另一个登录密码
.authorities("SAVE", "DEIT") //设置权限
//设置第三个用户
.and()
.withUser("yuan")
.password("345")
.roles("大师")
.authorities("SAVE")
;
}
}
2、 开讲一些细节,要注意的地方
SpringSecurity的源码对于角色和权限访问资源控制是一起的。这一点和RBAC模型(用户——角色——权限——资源)那种不太一样。
SpringSecurity听视频老师讲的是这个框架它把角色和权限都放进一个集合当中了。都是字符串形式的。角色有前缀的ROLE_。权限没有。前缀区分这两~
虽然debug没有找到图中老师的这几句源码。这估计和SpringSecurity版本有关。我用的较新。
不过有一个很好的收获就是慢慢学会通过Debug看源码了!~nice加油