SpringBoot整合SpringSecurity系列(8)-角色权限控制

素颜马尾好姑娘i 2023-01-15 14:21 200阅读 0赞

### 文章目录 ###

*  一、角色权限判断
 *  二、内置权限判断
 *   *  2.1 hasAuthority(String)
     *  2.2 hasAnyAuthority(String ...)
     *  2.3 hasRole(String)
     *  2.4 hasAnyRole(String ...)
     *  2.5 hasIpAddress(String)

# 一、角色权限判断 #

1.  除了内置权限控制外，Spring Security 中还支持很多其他权限控制，这些方法一般都用于用户已经被认证后，判断用户是否具有特定的权限
2.  例如登录微信之后，是否有权限发红包、发朋友圈等，后面的操作是建立在登录验证之后，表示授权部分，前者为认证部分
3.  内置主要有以下五个角色权限验证方法

public class AuthorizedUrl { 
    	/** * Shortcut for specifying URLs require a particular role. If you do not want to * have "ROLE_" automatically inserted see {@link #hasAuthority(String)}. * @param role the role to require (i.e. USER, ADMIN, etc). Note, it should not * start with "ROLE_" as this is automatically inserted. * @return the {@link ExpressionUrlAuthorizationConfigurer} for further * customization */
    	public ExpressionInterceptUrlRegistry hasRole(String role) { 
    		return access(ExpressionUrlAuthorizationConfigurer.hasRole(role));
    	}
    
    	/** * Shortcut for specifying URLs require any of a number of roles. If you do not * want to have "ROLE_" automatically inserted see * {@link #hasAnyAuthority(String...)} * @param roles the roles to require (i.e. USER, ADMIN, etc). Note, it should not * start with "ROLE_" as this is automatically inserted. * @return the {@link ExpressionUrlAuthorizationConfigurer} for further * customization */
    	public ExpressionInterceptUrlRegistry hasAnyRole(String... roles) { 
    		return access(ExpressionUrlAuthorizationConfigurer.hasAnyRole(roles));
    	}
    
    	/** * Specify that URLs require a particular authority. * @param authority the authority to require (i.e. ROLE_USER, ROLE_ADMIN, etc). * @return the {@link ExpressionUrlAuthorizationConfigurer} for further * customization */
    	public ExpressionInterceptUrlRegistry hasAuthority(String authority) { 
    		return access(ExpressionUrlAuthorizationConfigurer.hasAuthority(authority));
    	}
    
    	/** * Specify that URLs requires any of a number authorities. * @param authorities the requests require at least one of the authorities (i.e. * "ROLE_USER","ROLE_ADMIN" would mean either "ROLE_USER" or "ROLE_ADMIN" is * required). * @return the {@link ExpressionUrlAuthorizationConfigurer} for further * customization */
    	public ExpressionInterceptUrlRegistry hasAnyAuthority(String... authorities) { 
    		return access(ExpressionUrlAuthorizationConfigurer.hasAnyAuthority(authorities));
    	}
    
    	/** * Specify that URLs requires a specific IP Address or <a href= * "https://forum.spring.io/showthread.php?102783-How-to-use-hasIpAddress&p=343971#post343971" * >subnet</a>. * @param ipaddressExpression the ipaddress (i.e. 192.168.1.79) or local subnet * (i.e. 192.168.0/24) * @return the {@link ExpressionUrlAuthorizationConfigurer} for further * customization */
    	public ExpressionInterceptUrlRegistry hasIpAddress(String ipaddressExpression) { 
    		return access(ExpressionUrlAuthorizationConfigurer.hasIpAddress(ipaddressExpression));
    	}
    }

# 二、内置权限判断 #

## 2.1 hasAuthority(String) ##

1.  判断用户是否具有特定的权限，用户的权限在登录逻辑中(UserDetailsService实现类)返回UserDetails对象时指定，也可以是数据库验证方式中在数据库配置的权限
2.  如之前创建的用户权限信息(user\_role)中的下面信息就表示所具备的权限
    
     *  ROLE\_ADMIN和ROLE\_USER就是用户的权限，**权限严格区分大小写**

![在这里插入图片描述][20210422204108101.png]  
3. 在配置类中通过**hasAuthority(“ROLE\_ADMIN”)** 设置表示具有管理员权限时才能访问

*  **resources/static/** 创建只有ROLE\_ADMIN权限(root用户)才能访问的root.html

<!DOCTYPE html>
    <html lang="zh">
    <head>
      <meta charset="UTF-8">
      <title>SpringBoot Security</title>
    </head>
    <body>
      <h3>欢迎登录SpringBoot Security管理员首页</h3>
    </body>
    </html>

.antMatchers("/admin.html").hasAuthority("ROLE_ADMIN")

1.  注意hasAuthority只能指定一个权限
    
     *  ExpressionInterceptUrlRegistry hasAuthority(String authority)
2.  使用admin账号登录(root才有ROLE\_ADMIN权限)，提示403禁止访问

![在这里插入图片描述][20210422204151176.png]

1.  使用root账号登录，正常访问

![在这里插入图片描述][20210422204220219.png]  
7. 权限正常控制，特别注意权限区分大小写

*  ROLE\_ADMIN和role\_admin是两个权限

## 2.2 hasAnyAuthority(String …) ##

1.  如果用户具备给定权限中某一个，就允许访问
2.  在**resources/static/** 创建具备ROLE\_USER和ROLE\_ADMIN权限(root和admin用户)能访问的admin.html

<!DOCTYPE html>
    <html lang="zh">
    <head>
      <meta charset="UTF-8">
      <title>SpringBoot Security</title>
    </head>
    <body>
      <h3>欢迎登录SpringBoot Security Admin首页</h3>
    </body>
    </html>

1.  配置文件中配置权限访问

.antMatchers("/admin.html").hasAnyAuthority("ROLE_ADMIN", "ROLE_USER")

1.  此时使用root或admin用户均可以正常访问

## 2.3 hasRole(String) ##

1.  判断用户是否具备指定角色，如果用户具备给定角色就允许访问，否则出现 403
2.  参数取值来源于自定义登录逻辑UserDetailsService实现类中创建返回User对象时给User赋予的授权
3.  在给用户赋予角色时角色需要以\*\*ROLE\_\*\*开头，后面添加角色名称
    
     *  **ROLE\_ADMIN**中\*\*ROLE\_\*\*是固定开头，**ADMIN**是角色名称
     *  特别注意和hasAnyAuthority、hasAuthority的区别，后者必须要全称，前者只要**ROLE\_角色**
4.  使用 hasRole()时参数只需要写**ADMIN、USER**即可，如果带前缀启动报错

.antMatchers("/root.html").hasRole("ADMIN")

1.  带上**ROLE\_启动报错**

role should not start with 'ROLE_' since it is automatically inserted. Got 'ROLE_ADMIN'

1.  这是由于源码里面默认会拼接**ROLE\_**，并且断言了不能以其开图
    
     *  org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer

![在这里插入图片描述][20210422204332477.png]

## 2.4 hasAnyRole(String …) ##

1.  如果用户具备给定角色的任意一个，就允许被访问
2.  和之前hasAnyAuthority(String …)类似，只需要替换为hasAnyRole规则即可

.antMatchers("/admin.html").hasAnyRole("ADMIN", "USER")

1.  使用 hasRole()时参数也只需要写**ADMIN、USER**即可
    
     *  org.springframework.security.config.annotation.web.configurers.ExpressionUrlAuthorizationConfigurer

![在这里插入图片描述][20210422204405194.png]

## 2.5 hasIpAddress(String) ##

1.  如果请求ip是指定的ip发起则允许访问，可以通过\*\*request.getRemoteAddr()\*\*获取ip地址
2.  需要注意在本机进行测试时 localhost 和 127.0.0.1 输出的 ip地址是不一样的
    
     *  通过 localhost 进行访问时IP地址：0:0:0:0:0:0:0:1
     *  通过 127.0.0.1 访问时IP地址：127.0.0.1
     *  通过具体 ip 进行访问时IP地址：具体IP地址
3.  在**resources/static/** 创建只有ip是127.0.0.1时允许访问的ip.html

<!DOCTYPE html>
    <html lang="zh">
    <head>
      <meta charset="UTF-8">
      <title>SpringBoot Security</title>
    </head>
    <body>
      <h3>IP验证成功，SpringBoot Security Admin首页</h3>
    </body>
    </html>

.antMatchers("/ip.html").hasIpAddress("127.0.0.1")

1.  通过正常IP地址访问

![在这里插入图片描述][20210422204421855.png]

1.  通过localhost访问

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NpbmF0XzM0MTA0NDQ2_size_16_color_FFFFFF_t_70]

[20210422204108101.png]: /images/20221022/3bae325bb83c4a37b8d4e706cab2921f.png
[20210422204151176.png]: /images/20221022/380050b819e14814b99e90591a2b47c3.png
[20210422204220219.png]: /images/20221022/715f8718c0c046a0bfc4eb9e7c68dbe9.png
[20210422204332477.png]: /images/20221022/dce342f8f4d948cda4c756002d384c75.png
[20210422204405194.png]: /images/20221022/17969cef099e449b9c1250b686e0ceb8.png
[20210422204421855.png]: /images/20221022/7e7ab5083536469790711473e57d36ad.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3NpbmF0XzM0MTA0NDQ2_size_16_color_FFFFFF_t_70]: /images/20221022/0a4938763f9344418a67f3df3006b608.png