基于注解
需要配置启用@EnableGlobalMethodSecurity(prePostEnabled = true,securedEnabled = true)
prePostEnabled: 确定 前置注解[@PreAuthorize,@PostAuthorize,..] 是否启用
securedEnabled: 确定安全注解 [@Secured] 是否启用
jsr250Enabled: 确定 JSR-250注解 [@RolesAllowed..]是否启用
各个注解特点可以参考:https://www.jianshu.com/p/77b4835b6e8e 或者https://juejin.cn/post/6844904000026837005
@RestController public class HelloController { /** * 只有当前登录用户名为 javaboy 的用户才可以访问该方法。 * @return */ @PreAuthorize("principal.username.equals('javaboy')") @GetMapping("/hello") public String hello() { return "hello"; } /** * 表示访问该方法的用户必须具备 admin 角色。 * @return */ @PreAuthorize("hasRole('admin')") public String admin() { return "admin"; } /** * 表示方法该方法的用户必须具备 user 角色,但是注意 user 角色需要加上 ROLE_ 前缀。 * @return */ @Secured({"ROLE_user"}) public String user() { return "user"; } /** * 第四个 getAge 方法,表示访问该方法的 age 参数必须大于 98,否则请求不予通过 * @param age * @return */ @PreAuthorize("#age>98") public String getAge(Integer age) { return String.valueOf(age); } @GetMapping("/login") public ModelAndView login(){ ModelAndView modelAndView=new ModelAndView(); modelAndView.setViewName("login"); return modelAndView; } }
基于URL
protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("admin") .antMatchers("/user/**").hasAnyRole("admin", "user") .anyRequest().authenticated() .and() ... }