我们前面都是使用@PreAuthorize注解,然后在在其中使用的是hasAuthority方法进行校验。SpringSecurity还为我们提供了其它方法例如:hasAnyAuthority,hasRole,hasAnyRole等。
这里我们先不急着去介绍这些方法,我们先去理解hasAuthority的原理,然后再去学习其他方法你就更容易理解,而不是死记硬背区别。并且我们也可以选择定义校验方法,实现我们自己的校验逻辑。
hasAuthority方法实际是执行到了SecurityExpressionRoot的hasAuthority,大家只要断点调试既可知道它内部的校验原理。
它内部其实是调用authentication的getAuthorities方法获取用户的权限列表。然后判断我们存入的方法参数数据在权限列表中。
hasAnyAuthority方法可以传入多个权限,只有用户有其中任意一个权限都可以访问对应资源
hasRole要求有对应的角色才可以访问 但是他内部会把我们传入的参数拼接上ROLE_后再去比较 所有这种情况下要使用用户对应的权限也要有ROLE_这个前缀才可以
hasAnyRole有任意的角色就可以访问 它内部也会把我们传入的参数拼接上ROLE_后再去比较所以这种情况下要使用用户对应的权限也要有ROLE_这个前缀才可以
自定义权限校验方法
我们也可以定义自己的权限校验方法,在@PreAuthorize注解中使用我们的方法
在SPEL表达式中使用 @ex相当于获取容器中bean的名字未ex的对象。然后再调用这个对象的hasAuthority方法
标签:hasAuthority,自定义,校验,ROLE,权限,方法 From: https://www.cnblogs.com/NanFangDaGua/p/17350102.html