SpringSecurity给用户授权，一个用户能同时拥有多种身份Role，及权限鉴权注解方法hasRole及hasAuthority的使用区别

1、SpringSecurity一般分为两个重点

1.1 认证
1.2 授权，role

2、实际上用户存在一般就等于认证成功，认证成功之后就存在授权的问题

3、一个用户可以有多个身份

比如说系统存在两个身份，管理员和普通用户，实际上你可以给同一个用户让它拥有两个身份，比如root用户既是管理员又是普通用户

4、看图

在上面这张图中，登录的用户被授予了，admin,ROLE_sale两个身份，也就是说验证通过的用户既是admin又是ROLE_sale,admin无法访问需要admins权限的方法。联系到现实生活中，就像是你的老师，他既是老师又是家里的父亲，一个用户往往有多种身份，而每个身份对应着一定的权限。

5、hasRole及hasAuthority的使用区别

身份不加ROLE_前缀

身份ADMIN能通过的权限
@PreAuthorize("hasRole('ADMIN')")               //不允许
@PreAuthorize("hasAuthority('ADMIN')")          //允许
@PreAuthorize("hasRole('ROLE_ADMIN')")          //不允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')")     //不允许

身份加ROLE_前缀的好处，可以通过hasRole授权

身份ROLE_ADMIN能通过的权限
@PreAuthorize("hasRole('ROLE_ADMIN')")           //允许
@PreAuthorize("hasAuthority('ROLE_ADMIN')")      //允许
@PreAuthorize("hasRole('ADMIN')")                //允许
@PreAuthorize("hasAuthority('ADMIN')")           //不允许

总结：hasAuthority能通过的身份必须字符串完全一模一样，而hasRole能通过的身份必须前缀带有ROLE_，同时可以通过两种字符串，一是带有前缀ROLE_，二是不带前缀ROLE_。

6、SpringSecurity常用的注解

6.1 @EnableGlobalMethodSecurity(securedEnabled=true,prePostEnabled = true)

securedEnabled 确定安全注解 [@Secured] 是否启用
prePostEnabled 确定 前置注解[@PreAuthorize,@PostAuthorize,…] 是否启用

6.2 @Secured

是专门用于判断是否具有角色的。能写在方法或类上，参数要以 ROLE_开头

6.3 @PreAuthorize

表示访问方法或类在执行之前先判断权限,大多情况下都是使用这个注解，注解的参数和access()方法参数取值相同,都是权限表达式。

6.4 @PostAuthorize

表示方法或类执行结束后判断权限，此注解很少被使用到。

6.5@PreFilter(filterTarget=“ids”, value=“filterObject%2==0”)

对传入参数进行过滤，为true才通过，filterTarget指定传入方法参数的变量名ids，对ids进行过滤，为true才通过

6.6@PostFilter(“filterObject.username == ‘admin1’”)

对返回结果进行过滤，为true才通过

7、SpringSecurity设置自动登录

自定义登录页面的表单直接添加下面这行即可，但是name一定要为remember-me，这个是框架的默认值，不然无法识别

<input type="checkbox" name="remember-me" title="记住密码"/><br/>

参考文档：

• SpringBoot Security Oauth2角色及权限鉴权注解方法hasRole及hasAuthority的使用区别
• Spring Security–基于注解访问控制 @Secured&@PreAuthorize
• @PreFilter和@PostFilter的区别