SpringSecurity之权限方案——用户授权

前言

前面我们讲解到了关于用户认证的处理,用户认证完了之后是什么呢?当然,是为我们的主体授权,那么,授权是如何实现的呢?当看完这篇文章之后你应该会有一个大致的了解。

hasAuthority

指当前的主体具有指定的某权限,则返回 true,否则就返回 false

hasAnyAuthority

指当前的主体有提供任何的权限(给定的作为一个逗号分隔的字符串列表)的话,返回 true。

hasRole

如果用户具备给定角色那么会允许访问,不然会出现 403状态码。

如果当前主体具有了指定的角色,则返回 true。

hasAnyRole

用来表示用户具备任何一个条件都可以进行访问。

注解运用

@Secured

判断是否具有角色,另外需要注意的是这里匹配的字符串需要添加前缀“ROLE_“。

使用注解先要开启注解功能!

@EnableGlobalMethodSecurity(securedEnabled=true)

@SpringBootApplication

@EnableGlobalMethodSecurity(securedEnabled=true)

public class DemosecurityApplication {

         public static void main(String[] args) { SpringApplication.run(DemosecurityApplication.class, args);

        }

}

在控制器方法上添加注解

// 测试注解

@RequestMapping("test_secured")

@ResponseBody

@Secured({"ROLE_normals","ROLE_admins"})

public String helloUser() {

         return "hello,user";

}

@PreAuthorize

首先我们要开启注解使用功能

@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize:此注解是进入方法前的进行的权限验证

@PreAuthorize:可以将登录用户的 roles/permissions 参数传递进方法中。

@RequestMapping("/preAuthorize")

@ResponseBody

@PreAuthorize("hasAnyAuthority('system:menu')")

public String preAuthorize(){

        System.out.println("preAuthorize");

         return "preAuthorize";

}

@PostAuthorize

先开启注解功能:

@EnableGlobalMethodSecurity(prePostEnabled = true)

@PostAuthorize :注解使用的其实并不多,在方法执行完成后才会进行权限验证,适合用于验证带有返回值的权限。

@PreFilter

进入控制器之前对数据进行过滤

@PostFilter

权限验证之后对数据进行过滤留下用户名是我们设置的响应的用户数据

好了,关于用户授权相关内容先讲解到这里。

欢迎大家点击下方卡片,关注《coder练习生》

你可能感兴趣的:(java,spring,servlet,SpringSecurity)