一、URL匹配控制

  1. 通过上面的规则可以有很多 url 匹配规则和很多权限控制方法,这些内容进行各种组合就形成了Spring Security中的授权
  2. 权限在所有匹配规则中取所有规则的交集,配置顺序影响了之后授权效果,越是具体的应该放在前面,越是笼统的应该放到后面,换句话说就是控制粒度小的先配置,粒度大的后配置,因为先配置先生效
  3. 认证中主要使用配置类中http.authorizeRequests()对url进行控制,也就是授权(访问控制),主要通过控制不同url匹配实现,http.authorizeRequests() 支持链式写法,如http.authorizeRequests().匹配方法

二、URL匹配方法

1.1 anyRequest()

  1. anyRequest()表示匹配所有的请求,一般情况下此方法都会使用,设置全部内容都需要进行认证,通常作为最后一个规则,拦截所有,更细的规则应该在此之前进行指定,否则将会导致其后配置的规则无效
// 所有请求都拦截,通常用来做最后控制
.anyRequest().authenticated();

1.2 antMatcher()

  1. 通过ant表达式进行匹配,参数是不定向参数,每个参数是一个 ant 表达式,用于匹配 URL规则
    • antMatchers(String… antPatterns)
  2. ant表达式规则如下
    • ?:匹配一个字符
    • *:匹配0个或多个字符
    • **:匹配0个或多个目录
  3. 在实际项目中经常需要放行所有静态资源,下面配置为放行 js 文件夹下和css文件夹下所有脚本文件
.antMatchers("/js/**", "/css/**").permitAll()
  1. 还有一种配置方式是只要是.js和.css 文件都放行
.antMatchers("/**/*.js", "/**/*.css").permitAll()

1.3 regexMatchers()

  1. 使用正则表达式进行匹配,和 antMatchers() 主要的区别就是参数, antMatchers() 参数是 ant表达式, regexMatchers() 参数是正则表达式
  2. 下面配置所有以.css结尾的文件都被放行
.regexMatchers(".*[.]css").permitAll()

1.4 HttpMethod

  1. 无论是 antMatchers() 还是 regexMatchers() 都具有两个参数的方法,其中一个参数都是HttpMethod ,表示请求方式,当设置了 HttpMethod 后表示只有设定的特定的请求方式才执行对应的权限设置
  2. 枚举类型 HttpMethod 内置属性如下
import java.util.HashMap;
import java.util.Map;

import org.springframework.lang.Nullable;

public enum HttpMethod {

	GET, HEAD, POST, PUT, PATCH, DELETE, OPTIONS, TRACE;

	private static final Map<String, HttpMethod> mappings = new HashMap<>(16);

	static {
		for (HttpMethod httpMethod : values()) {
			mappings.put(httpMethod.name(), httpMethod);
		}
	}

	/**
	 * 将给定方法名称转为HttpMethod
	 */
	@Nullable
	public static HttpMethod resolve(@Nullable String method) {
		return (method != null ? mappings.get(method) : null);
	}

	/**
	 * 判断方法名是否匹配
	 */
	public boolean matches(String method) {
		return (this == resolve(method));
	}
}

1.5 mvcMatchers

  1. mvcMatchers()适用于配置文件中配置了servletPath的情况
  2. servletPath 就是所有的 URL 的统一前缀,在 SpringBoot 整合SpringMVC 的项目中可以在配置文件中添加下面内容设置 ServletPath
spring.mvc.servlet.path=/security
  1. 在 Spring Security 的配置类中配置**.servletPath()mvcMatchers()**返回值特有的方法,antMatchers()和 regexMatchers()没有这个方法。在 servletPath() 中配置了 servletPath 后,mvcMatchers()直接写 SpringMVC 中@RequestMapping()中设置的路径即可
    • 访问http://localhost:8888/security/toCss时放行,此时非此路径的请求全部被拦截
.mvcMatchers("/toCss").servletPath("/security").permitAll()

@ResponseBody
@RequestMapping("/toCss")
public String css() {
    return "redirect:index.css";
}
  1. mvcMatchers()也可以等价使用 antMatchers()
    • 延伸:此处可以设置为某个菜单的操作权限,例如/user/delete,即可达到权限控制
.antMatchers("/security/toCss").permitAll()