使用SpringSecurity设置角色和权限的注意事项有哪些
这篇文章将为大家详细讲解有关使用SpringSecurity设置角色和权限的注意事项有哪些,小编觉得挺实用的,因此分享给大家做个参考,希望大家阅读完这篇文章后可以有所收获。
SpringSecurity设置角色和权限
概念
在UserDetailsService的loadUserByUsername方法里去构建当前登陆的用户时,你可以选择两种授权方法,即角色授权和权限授权,对应使用的代码是hasRole和hasAuthority,而这两种方式在设置时也有不同,下面介绍一下:
角色授权:授权代码需要加ROLE_前缀,controller上使用时不要加前缀
权限授权:设置和使用时,名称保持一至即可
使用mock代码
@Componentpublic class MyUserDetailService implements UserDetailsService { @Autowired private PasswordEncoder passwordEncoder; @Override public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException { User user = new User(name, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"));//设置权限和角色 // 1. commaSeparatedStringToAuthorityList放入角色时需要加前缀ROLE_,而在controller使用时不需要加ROLE_前缀 // 2. 放入的是权限时,不能加ROLE_前缀,hasAuthority与放入的权限名称对应即可 return user; }}上面使用了两种授权方法,大家可以参考。
在controller中为方法添加权限控制
@GetMapping("/write") @PreAuthorize("hasAuthority('write')") public String getWrite() { return "have a write authority"; } @GetMapping("/read") @PreAuthorize("hasAuthority('read')") public String readDate() { return "have a read authority"; } @GetMapping("/read-or-write") @PreAuthorize("hasAnyAuthority('read','write')") public String readWriteDate() { return "have a read or write authority"; } @GetMapping("/admin-role") @PreAuthorize("hasRole('admin')") public String readAdmin() { return "have a admin role"; } @GetMapping("/user-role") @PreAuthorize("hasRole('USER')") public String readUser() { return "have a user role"; }网上很多关于hasRole和hasAuthority的文章,很多都说二者没有区别,但我认为,这是spring设计者的考虑,两种性质完成独立的东西,不存在任何关系,一个是用做角色控制,一个是操作权限的控制,二者也并不矛盾。
Security角色和权限的概念
Security中一些可选的表达式
permitAll永远返回truedenyAll永远返回falseanonymous当前用户是anonymous时返回truerememberMe当前用户是rememberMe用户时返回trueauthenticated当前用户不是anonymous时返回truefullAuthenticated当前用户既不是anonymous也不是rememberMe用户时返回truehasRole(role)用户拥有指定的角色权限时返回truehasAnyRole([role1,role2])用户拥有任意一个指定的角色权限时返回truehasAuthority(authority)用户拥有指定的权限时返回truehasAnyAuthority([authority1,authority2])用户拥有任意一个指定的权限时返回truehasIpAddress('192.168.1.0')请求发送的Ip匹配时返回true
看到上述的表达式,应该能发现一些问题,在Security中,似乎并没有严格区分角色和权限,
如果没有角色和权限的区别,只需要hasRole()函数就够了, hasAuthority()是做什么用的?
答:区别就是,hasRole()的权限名称需要用 "ROLE_" 开头,而hasAuthority()不需要,而且,这就是全部的区别。
在通常的系统设计中,我们区分角色和权限,但是,判断 "用户是不是管理员",和判断 "是否拥有管理员权限",在代码逻辑上,其实是完全一致的,角色是一种权限的象征,可以看做是权限的一种。因此,不区分角色和权限,本身就是合理的做法。
如果撇开别的问题不谈,只考虑权限的问题,我们可以将角色视为权限的一种,但是,角色是用户的固有属性,在用户管理上还是非常有必要的,在Security4中,处理"角色"(如RoleVoter、hasRole表达式等)的代码总是会添加ROLE_前缀,它更加方便开发者从两个不同的维度去设计权限。
关于"使用SpringSecurity设置角色和权限的注意事项有哪些"这篇文章就分享到这里了,希望以上内容可以对大家有一定的帮助,使各位可以学到更多知识,如果觉得文章不错,请把它分享出去让更多的人看到。
