springsecurity的第一道防线是 用户认证,即需要查看用户是否符合系统中合法的用户,而第二道防线呢就是我们的用户授权,即使用户认证通过了,如果对访问的URL没有相应的权限,也是访问不了。
如果我们想要给用户进行授权或者赋予某个角色,可参考下面的代码:
@Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { QueryWrapper<Users> wrapper = new QueryWrapper<>(); wrapper.eq("username", username); Users users = usersMapper.selectOne(wrapper); if(users == null){ throw new UsernameNotFoundException("用户不存在"); } List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role","ROLE_r1"); return new User(users.getUsername(), new BCryptPasswordEncoder().encode(users.getPassword()),auths); } }
最主要就是AuthorityUtils.commaSeparatedStringToAuthorityList("role","ROLE_r1");
现在那如何给资源URL赋予权限呢,参考如下:
protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/login.html") //设置我们自己的登录页面的路径 .loginProcessingUrl("/user/login") //设置表单提交到的路径,这个路径必须和表单的一致,因为一致,springsecurity才处理 .defaultSuccessUrl("/user/index") //校验或认证成功后跳转的路径,也就是这个是真正的controller接口的路径 .and().authorizeRequests().antMatchers("/user/test","/login.html").permitAll() //允许指定的路径 不需要不认证;这个固定的写法 .antMatchers("/user/index").hasAuthority("role") //当要访问/user/index的用户,必须拥有role权限 .anyRequest().authenticated() //所有的请求都需要认证,除了上面指定过不需要认证的除外 .and().csrf().disable(); //关闭csrf功能 }
最重要的就是.antMatchers("/user/index").hasAuthority("role") 这行代码,他的意思是:访问/user/index的用户需要具有role权限;但代码是这样的:.antMatchers("/user/index").hasAuthority("role1",“role2”),也就是说用户必须要有role1,role2两个权限才能访问。
(一般用户是先认证 再 查看 是否对应的权限。有时候这里会出现一个问题,比如访问/user/index,那我们会重定向到/login.html,但是重定向的这个请求也会被拦截去认证,因此会出现死循环,因此一定要对登录页面进行放行,即不认证登录页面)
如果我们希望访问的资源URL只需要其中一个权限就能访问,那还有一个方法,如下:
.antMatchers("/user/index").hasAnyAuthority("role","role2")
只要拥有role或者role2其中一个权限即可。
除了赋予权限外,还能赋予角色。
给用户赋予角色,代码如下:
@Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { QueryWrapper<Users> wrapper = new QueryWrapper<>(); wrapper.eq("username", username); Users users = usersMapper.selectOne(wrapper); if(users == null){ throw new UsernameNotFoundException("用户不存在"); } List<GrantedAuthority> auths = AuthorityUtils.commaSeparatedStringToAuthorityList("role","ROLE_sal"); return new User(users.getUsername(), new BCryptPasswordEncoder().encode(users.getPassword()),auths); } }
如果是赋予角色,那前缀必须是ROLE_ ,不然就不是角色,而是权限。
对应的,如果访问的资源URL需要某个或某些角色才能访问,也有两个方法,看方法名也能猜到:
.antMatchers("/user/index").hasRole("sal")
.antMatchers("/user/index").hasAnyRole("sal,doctor")
在赋予用户角色时需要加前缀ROLE_,但在资源URL这里就不需要加前缀。