Spring Security授权简介

授权又是什么概念呢？

现在来回顾下安全的概念：

1. 你是谁？
2. 你能干什么？

前面讲解的全是认证，也就是解决你是谁的问题；

这章讲解你能干什么的问题。很多人叫权限控制，鉴权，授权等；最终的核心目的都是一样的，
控制这个用户能在系统中干什么？

security对授权的定义

上图意思就是说，页面能看到的只是体验和ui交互问题；而对应后台某一个url的是否能被访问被认为是权限

权限场景分析

两个系统的权限特点是不一样的。不应该部署在一个应用中

当权限比较简单的时候，也就是对应业务系统来说这种需求；

security就支持了，可以把规则写在代码中进行控制

security的权限控制

之前其实已经写过

    // 对请求授权配置：注意方法名的含义
     .authorizeRequests()
     .antMatchers(
             SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
             SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
             securityProperties.getBrowser().getLoginPage(),
             SecurityConstants.DEFAULT_VALIDATE_CODE_URL_PREFIX + "/*", // 图形验证码接口
             securityProperties.getBrowser().getSignUpUrl(),  // 注册页面
             securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".json",
             securityProperties.getBrowser().getSession().getSessionInvalidUrl() + ".html",
             "/user/regist", // 注册请求，后面会介绍怎么把这个只有使用方知道放行的配置剥离处理
             "/error",
             "/connect/*",
             "/auth/*",
             "/signin"
     )
      // 放行以上路径
     .permitAll()
     // 该路径，只允许有 ADMIN 角色的人访问
     .antMatchers("/user").hasRole("ADMIN")
     .anyRequest()
     // 对任意请求都必须是已认证才能访问
     .authenticated()

这个时候再访问系统，登录后发现 /user 不能访问了;访问被拒绝了，那么就是因为当前登录的用户没有 ADMIN这个角色

    Whitelabel Error Page
    This application has no explicit mapping for /error, so you are seeing this as a fallback.
    
    Sun Aug 12 17:23:47 CST 2018
    There was an unexpected error (type=Forbidden, status=403).
    Forbidden

如何给用户分配角色

就是在我们之前实现的UserDetailsService来进行构建的用户信息

    com.example.demo.security.MyUserDetailsService
    
    private SocialUser getUserDetails(String username) {
        String password = passwordEncoder.encode("123456");
        logger.info("数据库密码{}", password);
        SocialUser admin = new SocialUser(username,
    //                              "{noop}123456",
                                          password,
                                          true, true, true, true,
                                          AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_ADMIN"));
        return admin;
    }

这里的角色需要添加 ROLE 前缀；因为之前使用的是 hasRole ； 这个在下一章节讲解是为什么；

怎么匹配restfull的url

还是之前那个方法配置，可以传递请求和通配符

    .antMatchers(HttpMethod.GET, "/user/*").hasRole("ADMIN")

在权限规则简单的情况下，就可以使用这里的知识进行构建权限系统。

下一章：讲解一个url请求，security对它做了些什么

Java 面试宝典是大明哥全力打造的 Java 精品面试题，它是一份靠谱、强大、详细、经典的 Java 后端面试宝典。它不仅仅只是一道道面试题，而是一套完整的 Java 知识体系，一套你 Java 知识点的扫盲贴。

它的内容包括：

• 大厂真题：Java 面试宝典里面的题目都是最近几年的高频的大厂面试真题。
• 原创内容：Java 面试宝典内容全部都是大明哥原创，内容全面且通俗易懂，回答部分可以直接作为面试回答内容。
• 持续更新：一次购买，永久有效。大明哥会持续更新 3+ 年，累计更新 1000+，宝典会不断迭代更新，保证最新、最全面。
• 覆盖全面：本宝典累计更新 1000+，从 Java 入门到 Java 架构的高频面试题，实现 360° 全覆盖。
• 不止面试：内容包含面试题解析、内容详解、知识扩展，它不仅仅只是一份面试题，更是一套完整的 Java 知识体系。
• 宝典详情：https://www.yuque.com/chenssy/sike-java/xvlo920axlp7sf4k
• 宝典总览：https://www.yuque.com/chenssy/sike-java/yogsehzntzgp4ly1
• 宝典进展：https://www.yuque.com/chenssy/sike-java/en9ned7loo47z5aw

目前 Java 面试宝典累计更新 400+ 道，总字数 42w+。大明哥还在持续更新中，下图是大明哥在 2024-12 月份的更新情况：

想了解详情的小伙伴，扫描下面二维码加大明哥微信【daming091】咨询

同时，大明哥也整理一套目前市面最常见的热点面试题。微信搜[大明哥聊 Java]或扫描下方二维码关注大明哥的原创公众号[大明哥聊 Java] ，回复【面试题】 即可免费领取。