为不同角色提供资源访问的方法是啥?
Posted
技术标签:
【中文标题】为不同角色提供资源访问的方法是啥?【英文标题】:What is the approach to provide access of resources for different Role?为不同角色提供资源访问的方法是什么? 【发布时间】:2021-07-27 11:49:23 【问题描述】:我正在使用 jwt 令牌在我的项目中配置 Spring Security。 我已成功生成 jwt 令牌并从前端访问它。
在我的 Spring Boot REST APT 中,我有几个控制器,其中包含所有 CRUD 方法。 我想向所有用户甚至公众授予 get 方法的访问权限,同时 对于 POST、PUT 和 Delete,我想根据具体情况仅授予管理员和版主访问权限。 但是对于某些 POST 方法,例如查询表单,我想授予所有用户访问权限。
我应该采取什么方法, 需要写吗
@PreAuthorize("hasRole('USER') or hasRole('MODERATOR') or hasRole('ADMIN')")
对于每个控制器中的每个方法。
现在我只是建立一个测试页面来检查角色的访问。
package com.panchmeru_studio.controller;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.CrossOrigin;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
@CrossOrigin(origins = "*", maxAge = 3600)
@RestController
@RequestMapping("/api/test")
public class TestController
@GetMapping("/all")
public String allAccess()
return "Public Content.";
@GetMapping("/user")
@PreAuthorize("hasRole('USER') or hasRole('MODERATOR') or hasRole('ADMIN')")
public String userAccess()
return "User Content.";
@GetMapping("/mod")
@PreAuthorize("hasRole('MODERATOR')")
public String moderatorAccess()
return "Moderator Board.";
@GetMapping("/admin")
@PreAuthorize("hasRole('ADMIN')")
public String adminAccess()
return "Admin Board.";
Securityconfig.java
package com.panchmeru_studio.security.jwt;
import com.panchmeru_studio.filter.AuthTokenFilter;
import com.panchmeru_studio.security.service.ApplicationUserDetailsService;
import com.panchmeru_studio.security.service.MyUserDetailsService;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.server.authorization.AuthorizationWebFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;
import static com.panchmeru_studio.constants.SecurityConstants.SIGN_UP_URL;
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter
private MyUserDetailsService userDetailsService;
// private BCryptPasswordEncoder bCryptPasswordEncoder;
@Autowired
private AuthEntryPointJwt unauthorizedHandler;
@Bean
public AuthTokenFilter authenticationJwtTokenFilter()
return new AuthTokenFilter();
public SecurityConfiguration(MyUserDetailsService userDetailsService)
this.userDetailsService = userDetailsService;
// this.bCryptPasswordEncoder = bCryptPasswordEncoder;
@Override
protected void configure(HttpSecurity http) throws Exception
http.cors().and().csrf().disable()
.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
.authorizeRequests().antMatchers("/api/auth/**").permitAll()
.antMatchers("/api/test/**").permitAll()
.anyRequest().authenticated().and()
// .addFilter(new AuthenticationFilter(authenticationManager()))
// .addFilter(new AuthorizationFilter(authenticationManager()))
.exceptionHandling().authenticationEntryPoint(unauthorizedHandler);
// .authorizeRequests().antMatchers(HttpMethod.POST, SIGN_UP_URL).permitAll()
// .anyRequest().authenticated()
// .and()
http.addFilterBefore(authenticationJwtTokenFilter(), UsernamePasswordAuthenticationFilter.class);
@Bean
CorsConfigurationSource corsConfigurationSource()
final UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
source.registerCorsConfiguration("/**", new CorsConfiguration().applyPermitDefaultValues());
return source;
@Override
public void configure(AuthenticationManagerBuilder auth) throws Exception
auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
@Bean
public PasswordEncoder passwordEncoder()
return new BCryptPasswordEncoder();
@Override
@Bean
public AuthenticationManager authenticationManagerBean() throws Exception
return super.authenticationManagerBean();
例如,现在我有 10 个控制器,Project ,AboutUS , ProjectCategory,Gallery 每个都有不同的 url(请求映射)所以,我是否需要将 @PreAuthorize 分配给每个控制器的每个方法,然后将每个控制器的请求映射到安全配置以进行授权?
【问题讨论】:
【参考方案1】:如果您只想基于用户角色访问方法,那么您描述的方法是正确的。
由于您使用 JWT 来授权对 API 的访问,因此您可以根据 JWT 中的声明而不是用户配置文件来保护 API。在这样的设置中,您根本不需要访问用户帐户,您可以根据 JWT 中的内容做出所有决定。查看this example,了解如何在 Spring API 中进行设置。
【讨论】:
以上是关于为不同角色提供资源访问的方法是啥?的主要内容,如果未能解决你的问题,请参考以下文章