Spring Security（08）——intercept-url配置

àì夳堔傛蜴生んèń 2022-06-14 02:14 180阅读 0赞

###     ###

## 1.1    指定拦截的url ##

通过pattern指定当前intercept-url定义应当作用于哪些url。

<security:intercept-url pattern=*"/\*\*"* access=*"ROLE\_USER"*/>

## 1.2     指定访问权限 ##

可以通过access属性来指定intercept-url对应URL访问所应当具有的权限。access的值是一个字符串，其可以直接是一个权限的定义，也可以是一个表达式。常用的类型有简单的角色名称定义，多个名称之间用逗号分隔，如：

<security:intercept-url pattern=*"/secure/\*\*"* access=*"ROLE\_USER,ROLE\_ADMIN"*/>

在上述配置中就表示secure路径下的所有URL请求都应当具有ROLE\_USER或ROLE\_ADMIN权限。当access的值是以“ROLE\_”开头的则将会交由RoleVoter进行处理。

此外，其还可以是一个表达式，上述配置如果使用表达式来表示的话则应该是如下这个样子。

<security:http use-expressions=*"true"*>

<security:form-login />

<security:logout />

<security:intercept-url pattern=*"/secure/\*\*"*access=*"hasAnyRole('ROLE\_USER','ROLE\_ADMIN')"*/>

</security:http>

或者是使用hasRole()表达式，然后中间以or连接，如：

<security:intercept-url pattern=*"/secure/\*\*"* access=*"hasRole('ROLE\_USER') or hasRole('ROLE\_ADMIN')"*/>

需要注意的是使用表达式时需要指定http元素的use-expressions=”true”。更多关于使用表达式的内容将在后文介绍。当intercept-url的access属性使用表达式时默认将使用WebExpressionVoter进行处理。

此外，还可以指定三个比较特殊的属性值，默认情况下将使用AuthenticatedVoter来处理它们。IS\_AUTHENTICATED\_ANONYMOUSLY表示用户不需要登录就可以访问；IS\_AUTHENTICATED\_REMEMBERED表示用户需要是通过Remember-Me功能进行自动登录的才能访问；IS\_AUTHENTICATED\_FULLY表示用户的认证类型应该是除前两者以外的，也就是用户需要是通过登录入口进行登录认证的才能访问。如我们通常会将登录地址设置为IS\_AUTHENTICATED\_ANONYMOUSLY。

<security:http>

<security:form-login login-page=*"/login.jsp"*/>

<security:intercept-url pattern=*"/login.jsp\*"*access=*"IS\_AUTHENTICATED\_ANONYMOUSLY"*/>

<security:intercept-url pattern=*"/\*\*"* access=*"ROLE\_USER"*/>

</security:http>

## 1.3     指定访问协议 ##

如果你的应用同时支持Http和Https访问，且要求某些URL只能通过Https访问，这个需求可以通过指定intercept-url的requires-channel属性来指定。requires-channel支持三个值：http、https和any。any表示http和https都可以访问。

<security:http auto-config=*"true"*>

<security:form-login/>

<security:intercept-url pattern=*"/admin/\*\*"* access=*"ROLE\_ADMIN"* requires-channel=*"https"*/>