- 授权简介
- Spring Security对授权的定义
- Spring Security授权原理
- Spring Security授权
- 内置权限表达式
Spring Security对授权的定义用户认证指的是不管是用户名密码,还是图形验证码,最终的目的都是让系统知道到底是谁在访问你的系统,解决的问题是:你是谁。
本篇文章的内容主要讲解你能在系统中做什么事情,针对这个有的叫做授权, 有的叫做鉴权, 还有的叫权限控制。最终的目的就是你能够在系统中做什么。
Spring Security授权原理安全权限控制问题其实就是控制能否访问URL。
在我们应用系统里面,如果想要控制用户权限,需要有两部分数据:
- 系统配置信息:写着系统里面有哪些URL,每一个url拥有哪些权限才允许被访问。
- 用户权限信息:请求用户拥有的权限
- 系统用户发送一个请求:系统配置信息和用户权限信息作比对,如果比对成功则允许访问。
Spring Security授权 内置权限表达式当一个系统授权规则比较简单,基本不变的时候,系统的权限配置信息可以写在我们的代码里面。比如前台门户网站等权限比较单一,使用简单的授权配置即可完成;如果权限复杂,例如办公OA,电商后台管理系统等就不能写在代码里面了,需要RBAC权限模型设计。
Spring Security 使用Spring EL来支持,主要用于Web访问和方法安全上,可以通过表达式来判断是否具有访问权限。
下面是Spring Security常用的内置表达式。expressionUrlAuthorizationConfigurer定义了所有的表达式。
| 表达式 | 说明 |
|---|---|
| permitAll | 指定任何人都允许访问 |
| denyAll | 指定任何人都不允许访问 |
| anonymous | 指定匿名用户允许访问 |
| rememberMe | 指定已记住的用户允许访问 |
| authenticated | 指定任何经过身份验证的用户都允许访问,不包含anonymous |
| fullyAuthenticated | 指定由经过身份验证的用户允许访问,不包含anonymous和rememberMe |
| hasRole(role) | 指定需要特定的角色的用户允许访问,会自动在角色前面插入ROLE_ |
| hasAnyRole([role1,role2]) | 指定需要任意一个角色的用户允许访问,会自动在角色前面插入ROLE_ |
| hasAuthority(authority) | 指定需要特定权限的用户允许访问 |
| hasAnyAuthority([authority,authority]) | 指定需要任意一个权限的用户允许访问 |
| hasIpAddress(ip) | 指定需要特定的IP地址可以访问 |
