2535-springsecurity系列--关于受权角色“ROLE”前缀的问题
版本信息
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>1.5.14.RELEASE</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
<version>1.5.14.RELEASE</version>
<!--实际里面spring-security-web的版本是4.2.7-->
</dependency>
问题
// 在userdetails里给用户受权时,须要给定角色名 受权角色
List<GrantedAuthority> grantedAuthorityList = AuthorityUtils.createAuthorityList("ROLE_ADMIN","ROLE_PM","ROLE_DEV");
// 配置url受权验证相关
private void configAuthorizeRequests(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers(CustomSecurityProperties.exclusivePaths)
.permitAll()
.antMatchers("/admin/**", "/**/delete").hasAnyRole("ADMIN")
.anyRequest()
.authenticated();
}
使用
受权的时候有ROLE前缀,可是作URL的权限配置时,并无ROLE前缀。html
缘由
版本是spring-security-core-4.2.7.RELEASE.jar
源码org.springframework.security.access.vote.RoleVoter ,类中定义了一个前缀private String rolePrefix = "ROLE_";,类中的supports方法会拿权限参数和rolePrefix进行匹配,查看是不是以ROLE_开头。java
public boolean supports(ConfigAttribute attribute) {
if ((attribute.getAttribute() != null)
//这里在验证前缀
&& attribute.getAttribute().startsWith(getRolePrefix())) {
return true;
}
else {
return false;
}
}
public int vote(Authentication authentication, Object object,
Collection<ConfigAttribute> attributes) {
if(authentication == null) {
return ACCESS_DENIED;
}
int result = ACCESS_ABSTAIN;
Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);
for (ConfigAttribute attribute : attributes) {
// 这里会遍历全部的角色值 先判断是否有前缀 有前缀的话 则进行投票
if (this.supports(attribute)) {
result = ACCESS_DENIED;
// Attempt to find a matching granted authority
for (GrantedAuthority authority : authorities) {
if (attribute.getAttribute().equals(authority.getAuthority())) {
return ACCESS_GRANTED;
}
}
}
}
return result;
}
第77行中会验证受权角色信息是否之前缀开头git
(这是一个投票器,会对当前用户角色信息和所访问的资源信息的权限要求进行匹配,给出 -1 0 1 这样的投票值
投票器参考:https://blog.csdn.net/tjyyyangyi/article/details/79413307github
官方文档
官方文档 46.3.3 What does "ROLE_" mean and why do I need it on my role names? https://docs.spring.io/spring-security/site/docs/5.0.6.RELEASE/reference/htmlsingle/#appendix-faq-role-prefix)web
完整项目工程参考
https://github.com/starmoon1994/springsecurity-collectionspring
相关文章
- 1. 角色、权限、受权
- 2. Oracle角色权限之Default Role
- 3. oracle角色(role)和权限(privilege)
- 4. Jenkins 基于 Crowd 和 Role-based 插件的角色权限管理
- 5. Oracle_用户-受权-角色
- 6. 关于SRL(semantic role label;Semantic Role Labeling)语义角色标注标签的含义
- 7. RBAC(Role-Based Access Control,基于角色的访问控制)
- 8. RBAC(Role-Based Access control)基于角色的访问控制
- 9. 关于Android6.0、7.0、8.0系统对于申请权限的受权问题
- 10. Shrio00 Shiro角色受权、Shiro权限受权、开启Shiro缓存
- 更多相关文章...
- • Hibernate映射关系 - Hibernate教程
- • Redis悲观锁解决高并发抢红包的问题 - 红包项目实战
- • ☆基于Java Instrument的Agent实现
- • NewSQL-TiDB相关
相关标签/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
欢迎关注本站公众号,获取更多信息
相关文章
- 1. 角色、权限、受权
- 2. Oracle角色权限之Default Role
- 3. oracle角色(role)和权限(privilege)
- 4. Jenkins 基于 Crowd 和 Role-based 插件的角色权限管理
- 5. Oracle_用户-受权-角色
- 6. 关于SRL(semantic role label;Semantic Role Labeling)语义角色标注标签的含义
- 7. RBAC(Role-Based Access Control,基于角色的访问控制)
- 8. RBAC(Role-Based Access control)基于角色的访问控制
- 9. 关于Android6.0、7.0、8.0系统对于申请权限的受权问题
- 10. Shrio00 Shiro角色受权、Shiro权限受权、开启Shiro缓存