【玩转Spring】Spring Security（三）

图片来自于百度图片

内容提前知

1、Spring security访问控制

2、基于数据库用户验证

访问控制

先说说什么访问控制，通俗一点讲就是看当前登陆人是否有权限访问当点URL。在这之前我们需要先认识几个函数，这些函数将是我们实现访问控制的重要方式。

authorizeRequests：此方法属于HttpSecurity，表示允许使用基于HttpServletRequest请求的访问限制。

antMatchers：此方法属于AbstractRequestMatcherRegistry，有多个重载方法，主要作用是匹配URL。

anyRequest：此方法属于AbstractRequestMatcherRegistry，表示任意请求，

hasRole：此方法来自于ExpressionUrlAuthorizationConfigurer.AuthorizedUrl，表示拥有什么角色才能访问。

authenticated：此方法来自于ExpressionUrlAuthorizationConfigurer.AuthorizedUrl，表示访问是需要认证的。

permitAll：来自于AbstractAuthenticationFilterConfigurer，表示任意人都可以访问。

程序一：所有URL均需要认证

上面代码会导致一个结果，那就是我们的静态文件（如css文件）也不能访问，这是时候就需要我们的permitAll方法了

程序二：对静态文件不设置认证方式一

程序三：对静态文件不设置认证方式二

程序四：不同角色访问不同文件

基于数据库用户验证

Spring Security对于数据库的用户验证提供了两种方法，auth.jdbcAuthentication()与 auth.userDetailsService() ，我们重点介绍userDetailsService，因为此方法同样兼容NOSQL数据库。

程序五：数据认证方式一（SQL）

需要注意上述SQL是仿照Spring security源码中SQL写的，请按照此模式来书写你的SQL

程序六：自定义userDetailsService

在这里省略了查询数据库（缓存）的步骤，可以在loadUserByUsername中加上。

用户的角色要与访问控制的对上哦。

OK，数据库认证的两种方式大功告成，当然Spring security还支持LDAP与CAS，不过最常用的就是数据库和缓存了，因此我们在这里仅仅介绍了数据库（含NOSQL）认证的方式。

下期预告

Spring MVC与Spring security暂时告一段落，当然不能面面俱到，主要以实际项目中使用为导向进行了使用说明。

下期开始将主要分享Spring MVC 与 REST，不要错过我，现在REST可是替代传统SOAP WEB服务的流行方案。

如果你对Linux、Java后端、分布式系统感兴趣，扫描上方二维码，欢迎加入我们的知识星球。