您好,登錄后才能下訂單哦!
這篇文章將為大家詳細講解有關(guān)使用SpringSecurity設(shè)置角色和權(quán)限的注意事項有哪些,小編覺得挺實用的,因此分享給大家做個參考,希望大家閱讀完這篇文章后可以有所收獲。
在UserDetailsService的loadUserByUsername方法里去構(gòu)建當(dāng)前登陸的用戶時,你可以選擇兩種授權(quán)方法,即角色授權(quán)和權(quán)限授權(quán),對應(yīng)使用的代碼是hasRole和hasAuthority,而這兩種方式在設(shè)置時也有不同,下面介紹一下:
角色授權(quán):授權(quán)代碼需要加ROLE_前綴,controller上使用時不要加前綴
權(quán)限授權(quán):設(shè)置和使用時,名稱保持一至即可
@Component public class MyUserDetailService implements UserDetailsService { @Autowired private PasswordEncoder passwordEncoder; @Override public UserDetails loadUserByUsername(String name) throws UsernameNotFoundException { User user = new User(name, passwordEncoder.encode("123456"), AuthorityUtils.commaSeparatedStringToAuthorityList("read,ROLE_USER"));//設(shè)置權(quán)限和角色 // 1. commaSeparatedStringToAuthorityList放入角色時需要加前綴ROLE_,而在controller使用時不需要加ROLE_前綴 // 2. 放入的是權(quán)限時,不能加ROLE_前綴,hasAuthority與放入的權(quán)限名稱對應(yīng)即可 return user; } }
上面使用了兩種授權(quán)方法,大家可以參考。
@GetMapping("/write") @PreAuthorize("hasAuthority('write')") public String getWrite() { return "have a write authority"; } @GetMapping("/read") @PreAuthorize("hasAuthority('read')") public String readDate() { return "have a read authority"; } @GetMapping("/read-or-write") @PreAuthorize("hasAnyAuthority('read','write')") public String readWriteDate() { return "have a read or write authority"; } @GetMapping("/admin-role") @PreAuthorize("hasRole('admin')") public String readAdmin() { return "have a admin role"; } @GetMapping("/user-role") @PreAuthorize("hasRole('USER')") public String readUser() { return "have a user role"; }
網(wǎng)上很多關(guān)于hasRole和hasAuthority的文章,很多都說二者沒有區(qū)別,但我認為,這是spring設(shè)計者的考慮,兩種性質(zhì)完成獨立的東西,不存在任何關(guān)系,一個是用做角色控制,一個是操作權(quán)限的控制,二者也并不矛盾。
permitAll
永遠返回true
denyAll
永遠返回false
anonymous
當(dāng)前用戶是anonymous時返回true
rememberMe
當(dāng)前用戶是rememberMe用戶時返回true
authenticated
當(dāng)前用戶不是anonymous時返回true
fullAuthenticated
當(dāng)前用戶既不是anonymous也不是rememberMe用戶時返回true
hasRole(role)
用戶擁有指定的角色權(quán)限時返回true
hasAnyRole([role1,role2])
用戶擁有任意一個指定的角色權(quán)限時返回true
hasAuthority(authority)
用戶擁有指定的權(quán)限時返回true
hasAnyAuthority([authority1,authority2])
用戶擁有任意一個指定的權(quán)限時返回true
hasIpAddress('192.168.1.0')
請求發(fā)送的Ip匹配時返回true
看到上述的表達式,應(yīng)該能發(fā)現(xiàn)一些問題,在Security中,似乎并沒有嚴格區(qū)分角色和權(quán)限,
如果沒有角色和權(quán)限的區(qū)別,只需要hasRole()函數(shù)就夠了, hasAuthority()是做什么用的?
答:區(qū)別就是,hasRole()的權(quán)限名稱需要用 "ROLE_" 開頭,而hasAuthority()不需要,而且,這就是全部的區(qū)別。
在通常的系統(tǒng)設(shè)計中,我們區(qū)分角色和權(quán)限,但是,判斷 “用戶是不是管理員”,和判斷 “是否擁有管理員權(quán)限”,在代碼邏輯上,其實是完全一致的,角色是一種權(quán)限的象征,可以看做是權(quán)限的一種。因此,不區(qū)分角色和權(quán)限,本身就是合理的做法。
如果撇開別的問題不談,只考慮權(quán)限的問題,我們可以將角色視為權(quán)限的一種,但是,角色是用戶的固有屬性,在用戶管理上還是非常有必要的,在Security4中,處理“角色”(如RoleVoter、hasRole表達式等)的代碼總是會添加ROLE_前綴,它更加方便開發(fā)者從兩個不同的維度去設(shè)計權(quán)限。
關(guān)于“使用SpringSecurity設(shè)置角色和權(quán)限的注意事項有哪些”這篇文章就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,使各位可以學(xué)到更多知識,如果覺得文章不錯,請把它分享出去讓更多的人看到。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。