在完整的权限系统中如何控制请求访问?
来源:4-6 认证流程源码级详解
Strgeon
2019-02-26
每个用户的权限是放入 Collection<? extends GrantedAuthority> authorities
但是这里有一个问题 这里是可以存入针对单个用户的权限那么在哪里载入判断这个权限呢?restful api 我们是根据请求的方法,put get post delete可能我需要禁止delete方法被这个用户调用该在哪里处理这个呢?
课程 4-1 ~ 4-6 我看了都是围绕登陆成功失败后的这个,我想知道就是登陆后围绕地址和请求的方法如何去做权限控制呢?
写回答
1回答
-
JoJo
2019-03-04
在授权的配置代码里有,样例的代码如下
.authorizeRequests().antMatchers(HttpMethod.GET, "/test").hasAuthority("ROLE_ADMIN")
这是说,针对/test的Get请求,在用户的 authorities 集合里必须要有 "ROLE_ADMIN" 这个权限。
00
Spring Security技术栈开发企业级认证与授权
Spring Security技术栈,REST风格开发常见接口,独立开发认证授权模块保证REST服务安全
2662 学习 · 1561 问题
相似问题