胖虎的工具箱-编程导航 胖虎的工具箱-编程导航

SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403

3年前 (2022) 程序员胖胖胖虎阿
326 0 0

1:静态资源和无需权限页面放行

如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行:

 @Override
    protected void configure(HttpSecurity http) throws Exception {
				  http.authorizeRequests()
                //无需认证的为static下的静态资源,以及/index请求
                .antMatchers("/static/**","/index").permitAll()
                //其它所有请求都需要进行验证
                .anyRequest().authenticated();
    }

2:配置登录页面

自定义登陆页面,在控制器方法中写一个路径用来跳转到登陆页面,则可以在SpringSecurity配置类中配置登录页:

@Override
    protected void configure(HttpSecurity http) throws Exception {

        http.formLogin()
                //设置登录成功跳转
                .successForwardUrl("/success")
                //设置登录失败跳转
                .failureForwardUrl("/fail")
                //登录的url,默认为/login
                .loginProcessingUrl("/login")
                //自定义登录页
                .loginPage("请求登录页的url")
                .usernameParameter("表单中用户名的name属性值,默认为username")
                .passwordParameter("表单中密码的name属性值,默认为password");
    }

在执行登录的时候会走一个过滤器UsernamePasswordAuthenticationFilter: 里面默认的参数为username和password,可以通过usernameParameter和passwordParameter修改。

SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403

11:权限访问控制

方法 解释
hasAuthority 方法 如果当前的主体具有指定的权限,则返回 true,否则返回 false
hasAnyAuthority 方法 如果当前的主体有任何提供的角色的话,返回true
hasRole方法 如果当前主体具有指定的角色,则返回 true
hasAnyRole方法 表示用户具备任何一个条件都可以访问

注意如果是hasRole方法判断权限:则在为用户设置权限时需要使用ROLE_作为前缀:

authorityList=AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_test")//添加的权限为test

而在配置文件中判断时无需添加ROLE_前缀:

antMatchers("/test").hasRole("test")//无需添加前缀

在hasRole方法底层定义了ROLE_前缀:
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403

测试四个方法:

                .antMatchers("/authority").hasAuthority("admin")
                //admin common都可以访问
                .antMatchers("/anyAuthority").hasAnyAuthority("admin,common")
                //vip1才能访问
                .antMatchers("/role").hasRole("admin")
                //vip2,vip3访问
                .antMatchers("/anyRole").hasAnyRole("admin,common")

12:自定义403页面

如果当前主体没有访问此请求的权限,则会产生403错误,可以在SpringSecurity的配置文件中添加403页面配置:

 protected void configure(HttpSecurity http) throws Exception {
        //403页面,无权限跳转
        http.exceptionHandling().accessDeniedPage("/403");
 }

在控制器方法中添加跳转到无权限页面的方法:

@GetMapping("/403")
    @ResponseBody
    public String error(){
        return "这是403错误页面";
    }

配置权限:

   .antMatchers("/dbUser").hasAuthority("dbUser")
   .antMatchers("/test403").hasRole("test")

测试:登录用户权限为dbuser,访问test权限下的请求会跳转到403错误页面

SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403

版权声明:程序员胖胖胖虎阿 发表于 2022年11月3日 下午3:08。
转载请注明:SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403 | 胖虎的工具箱-编程导航

相关文章

12 个免费又酷炫的 IntelliJ IDEA 插件
程序员胖胖胖虎阿
442
Intellij IDEA最新激活码激活教程(Intellij IDEA最新永久激活码激活至2099年)
程序员胖胖胖虎阿
539
如何开发一款基于 Vite+Vue3 的在线表格系统(上)
程序员胖胖胖虎阿
304
idea的永久破解方法(IDEA专业版注册码,最新有效IDEA激活码)
程序员胖胖胖虎阿
286
IDEA2022.1激活工具(Intellij IDEA2021 激活码,永久激活IDEA)
程序员胖胖胖虎阿
303
IDEA安装及注册码(IntelliJ IDEA最新破解教程,全年更新)
程序员胖胖胖虎阿
361

暂无评论

暂无评论...

JetBrains全家桶正版账号

官方正版 JetBrains 账号

登录即可使用全家桶 不限操作系统 官方授权 支持全家桶所有软件 不限版本
🔥 最低 32元/年
致力于称为最好的程序员导航网站

友链申请 免责声明 关于我们

Copyright © 2022  胖虎的工具箱-编程导航   陇ICP备2022001249号