作者简介:大家好,我是smart哥,前中兴通讯、美团架构师,现某互联网公司CTO
联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬
学习必须往深处挖,挖的越深,基础越扎实!
权限表达式
看源码得知,最后都会转成一个表达式,然后进行投票评估;
那么有哪些表达式呢?
这些表达式的由来,由代码中的配置而来。
.antMatchers().xxx 每个函数都包装了一个表达式生成。
跟着源码得到 返回的是一个 ExpressionUrlAuthorizationConfigurer.AuthorizedUrl 对象
联合使用是通过access方法,自己写表达式
.antMatchers("xx").access("hasRole('ROLE_USER') and hasRole('ROLE_SUPER')")
那么能自定义表达式,并且使用自己的代码逻辑来判定吗?是可以的,下一节讲解;
分离配置
如下配置,一部分是安全模块的配置,一部分是使用安全模块的应用自己的业务配置;
那么怎么能把这种业务配置分离出去呢?
.antMatchers(
SecurityConstants.DEFAULT_UNAUTHENTICATION_URL,
SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_MOBILE,
"/user/regist", // 注册请求,后面会介绍怎么把这个只有使用方知道放行的配置剥离处理
// org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController
// BasicErrorController 类提供的默认错误信息处理服务
"/error",
"/connect/*",
"/auth/*",
"/signin"
)
.permitAll()
// 该路径,只允许有 ADMIN 角色的人访问
.antMatchers(HttpMethod.GET, "/user/*").hasRole("ADMIN")