Spring Security用户认证和授权（二）

原创

堕落飞鸟

发布于 2023-04-15 08:16:57

4240

发布于 2023-04-15 08:16:57

文章被收录于专栏：飞鸟的专栏飞鸟的专栏

授权

授权是指确定用户是否有权访问某些资源或执行某些操作的过程。Spring Security提供了多种授权方式，例如基于角色的授权、基于表达式的授权等。

基于角色的授权

基于角色的授权是指将角色授予用户，以确定他们是否有权访问受保护的资源。在Spring Security中，可以通过使用"hasRole"方法来实现基于角色的授权。

下面是一个示例，展示如何使用基于角色的授权。

在Spring Security配置文件中添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

在这个示例中，我们定义了两个用户："user"和"admin"，"user"用户被授予"USER"角色，"admin"用户被授予"ADMIN"角色。如果用户访问"/admin"路径，他们必须被授予"ADMIN"角色才能访问，如果用户访问"/user"路径，他们必须被授予"USER"或"ADMIN"角色才能访问。

基于表达式的授权

基于表达式的授权是指使用表达式来确定用户是否有权访问受保护的资源。在Spring Security中，可以使用SpEL表达式来实现基于表达式的授权。

下面是一个示例，展示如何使用基于表达式的授权。

在Spring Security配置文件中添加以下代码：

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").access("hasRole('ADMIN')")
                .antMatchers("/user/**").access("hasAnyRole('USER', 'ADMIN')")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("user").password("{noop}password").roles("USER")
                .and()
                .withUser("admin").password("{noop}password").roles("ADMIN");
    }
}

在这个示例中，我们使用SpEL表达式来实现基于表达式的授权。"hasRole"方法和"hasAnyRole"方法都可以用来检查用户是否具有相应的角色。如果用户访问"/admin"路径，他们必须被授予"ADMIN"角色才能访问，如果用户访问"/user"路径，他们必须被授予"USER"或"ADMIN"角色才能访问。

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

spring-security

原创声明：本文系作者授权腾讯云开发者社区发表，未经许可，不得转载。

如有侵权，请联系 cloudcommunity@tencent.com 删除。

spring-security

登录后参与评论

0 条评论

热度