使用SpringSecurity設(shè)置角色和權(quán)限的注意事項有哪些

這篇文章將為大家詳細講解有關(guān)使用SpringSecurity設(shè)置角色和權(quán)限的注意事項有哪些，小編覺得挺實用的，因此分享給大家做個參考，希望大家閱讀完這篇文章后可以有所收獲。

SpringSecurity設(shè)置角色和權(quán)限

概念

在UserDetailsService的loadUserByUsername方法里去構(gòu)建當(dāng)前登陸的用戶時，你可以選擇兩種授權(quán)方法，即角色授權(quán)和權(quán)限授權(quán)，對應(yīng)使用的代碼是hasRole和hasAuthority，而這兩種方式在設(shè)置時也有不同，下面介紹一下：

• 角色授權(quán)：授權(quán)代碼需要加ROLE_前綴，controller上使用時不要加前綴

• 權(quán)限授權(quán)：設(shè)置和使用時，名稱保持一至即可

使用mock代碼

@Component
public class MyUserDetailService implements UserDetailsService {
  @Autowired
  private PasswordEncoder passwordEncoder;

  @Override
  public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException {
    User user = new User(name,
        passwordEncoder.encode("123456"),
        AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"));//設(shè)置權(quán)限和角色
    // 1. commaSeparatedStringToAuthorityList放入角色時需要加前綴ROLE_，而在controller使用時不需要加ROLE_前綴
    // 2. 放入的是權(quán)限時，不能加ROLE_前綴，hasAuthority與放入的權(quán)限名稱對應(yīng)即可
    return user;
  }
}

上面使用了兩種授權(quán)方法，大家可以參考。

在controller中為方法添加權(quán)限控制

 @GetMapping("/write")
  @PreAuthorize("hasAuthority('write')")
  public String getWrite() {
    return "have a write authority";
  }

  @GetMapping("/read")
  @PreAuthorize("hasAuthority('read')")
  public String readDate() {
    return "have a read authority";
  }

  @GetMapping("/read-or-write")
  @PreAuthorize("hasAnyAuthority('read','write')")
  public String readWriteDate() {
    return "have a read or write authority";
  }

  @GetMapping("/admin-role")
  @PreAuthorize("hasRole('admin')")
  public String readAdmin() {
    return "have a admin role";
  }

  @GetMapping("/user-role")
  @PreAuthorize("hasRole('USER')")
  public String readUser() {
    return "have a user role";
  }

網(wǎng)上很多關(guān)于hasRole和hasAuthority的文章，很多都說二者沒有區(qū)別，但我認為，這是spring設(shè)計者的考慮，兩種性質(zhì)完成獨立的東西，不存在任何關(guān)系，一個是用做角色控制，一個是操作權(quán)限的控制，二者也并不矛盾。

Security角色和權(quán)限的概念

Security中一些可選的表達式

• permitAll永遠返回true

• denyAll永遠返回false

• anonymous當(dāng)前用戶是anonymous時返回true

• rememberMe當(dāng)前用戶是rememberMe用戶時返回true

• authenticated當(dāng)前用戶不是anonymous時返回true

• fullAuthenticated當(dāng)前用戶既不是anonymous也不是rememberMe用戶時返回true

• hasRole(role)用戶擁有指定的角色權(quán)限時返回true

• hasAnyRole([role1，role2])用戶擁有任意一個指定的角色權(quán)限時返回true

• hasAuthority(authority)用戶擁有指定的權(quán)限時返回true

• hasAnyAuthority([authority1,authority2])用戶擁有任意一個指定的權(quán)限時返回true

• hasIpAddress('192.168.1.0')請求發(fā)送的Ip匹配時返回true

看到上述的表達式，應(yīng)該能發(fā)現(xiàn)一些問題，在Security中，似乎并沒有嚴格區(qū)分角色和權(quán)限，

如果沒有角色和權(quán)限的區(qū)別，只需要hasRole()函數(shù)就夠了, hasAuthority()是做什么用的？

答：區(qū)別就是，hasRole()的權(quán)限名稱需要用 "ROLE_" 開頭，而hasAuthority()不需要，而且，這就是全部的區(qū)別。

在通常的系統(tǒng)設(shè)計中，我們區(qū)分角色和權(quán)限，但是，判斷 “用戶是不是管理員”，和判斷 “是否擁有管理員權(quán)限”，在代碼邏輯上，其實是完全一致的，角色是一種權(quán)限的象征，可以看做是權(quán)限的一種。因此，不區(qū)分角色和權(quán)限，本身就是合理的做法。

如果撇開別的問題不談，只考慮權(quán)限的問題，我們可以將角色視為權(quán)限的一種，但是，角色是用戶的固有屬性，在用戶管理上還是非常有必要的，在Security4中，處理“角色”(如RoleVoter、hasRole表達式等)的代碼總是會添加ROLE_前綴，它更加方便開發(fā)者從兩個不同的維度去設(shè)計權(quán)限。

關(guān)于“使用SpringSecurity設(shè)置角色和權(quán)限的注意事項有哪些”這篇文章就分享到這里了，希望以上內(nèi)容可以對大家有一定的幫助，使各位可以學(xué)到更多知識，如果覺得文章不錯，請把它分享出去讓更多的人看到。