前言

这个系列设计到的技术点如下:

  • SpringSecurity
  • Oauth2
  • SpringSecurity + Oauth2
  • SpringSecurity +JWT
  • SpringSecurity + Oauth2
  • SpringSecurity + Oauth2 + JWT
背景

除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。

  • hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。下图中admin和normal 就是用户的权限。admin和normal 严格区分大小写。

java统一认证 java auth登录认证_bc



  • 在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。
http.authorizeRequests()
                // login.html不需要被认证
                .antMatchers("/login.html").permitAll()
                // error.html不需要被认证
                .antMatchers("/error.html").permitAll()
                // 所有请求都必须被认证,必须登录后被访问
                .antMatchers("/main.html").hasAuthority("admin")
                .anyRequest().authenticated();
  • hasAnyAuthority(String …)
    如果用户具备给定权限中某一个,就允许访问。下面代码中由于大小写和用户的权限不相同,所以用户无权访问
.antMatchers("/main.html").hasAnyAuthority("adMin","admiN")
  • hasRole(String)
    如果用户具备给定角色就允许访问。否则出现 403。参数取值来源于自定义登录逻辑 UserDetailsService 实现类中创建 User 对象时给 User 赋予的授
    权。在给用户赋予角色时角色需要以: ROLE_开头 ,后面添加角色名称。例如:ROLE_abc 其中 abc 是角色名,ROLE_是固定的字符开头。使用 hasRole()时参数也只写 abc 即可。否则启动报错。
    给用户赋予角色:
AuthorityUtils.commaSeparatedStringToAuthorityList("admin,normal,ROLE_abc"));

在配置类中直接写 abc 即可。

.antMatchers("/main.html").hasRole("abc")
  • hasAnyRole(String …)
    如果用户具备给定角色的任意一个,就允许被访问
  • hasIpAddress(String) 如果请求是指定的 IP 就运行访问。可以通过 request.getRemoteAddr() 获取 ip 地址。需要注意的是在本机进行测试时 localhost 和 127.0.0.1 输出的 ip地址是不一样的。
  • 当浏览器中通过 localhost 进行访问时控制台打印的内容:

java统一认证 java auth登录认证_java统一认证_02

  • 当浏览器中通过 127.0.0.1 访问时控制台打印的内容:

java统一认证 java auth登录认证_spring_03

.antMatchers("/main.html").hasIpAddress("127.0.0.1")
  • 自定义403处理方案
    使用 Spring Security 时经常会看见 403(无权限),默认情况下显示的效果如下:

    • java统一认证 java auth登录认证_java统一认证_04

  • 而在实际项目中可能都是一个异步请求,显示上述效果对于用户就不是特别友好了。Spring Security 支持自定义权限受限。
  • 新建类
    新建类实现 AccessDeniedHandler
package com.mjdai.springsecurity.handler;

import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException,
            ServletException {
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.setHeader("Content-Type", "application/json;charset=utf-8");
        PrintWriter out = response.getWriter();
        out.write("{\"status\":\"error\",\"msg\":\"权限不足,请联系管理员!\"}");
        out.flush();
        out.close();
    }
}
  • 修改配置类
    配置类中重点添加异常处理器。设置访问受限后交给哪个对象进行处理myAccessDeniedHandler 是在配置类中进行自动注入的。
//异常处理
http.exceptionHandling().accessDeniedHandler(myAccessDeniedHandler);