SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口（权限菜单/权限接口/权限失败后的逻辑）

本文主要是介绍SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口（权限菜单/权限接口/权限失败后的逻辑），希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

本文将演示用户1登录之后只能访问test1接口和test3接口，用户2登录之后只能访问test2接口和test3接口，如果user1访问test2接口，那么前端页面上会显示没有权限四个字

本文是与上一篇文章的部分代码强关联的，因为这是一篇系列文章

步骤1： controller代码如下

@RestController
public class AController {// 帐号user1可以访问该接口，user2不可以@RequestMapping("/test1")public String test1() {return "OK1";}// 帐号user2可以访问该接口，user1不可以@RequestMapping("test2")public String test2() {return "OK2";}// 帐号user1和user2都可以访问该接口@RequestMapping("/test3")public String test3() {return "OK3";}
}

步骤2： 对每个接口设置权限，在本文中，我将设置3个权限，分别是QX1，QX2，QX3，其中QX是权限两个字的拼音，比较好理解，对接口设置权限的代码如下：

@Service
public class TestWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{http.authorizeRequests()// 有QX1权限的用户才可以访问test1接口// 注意：注意：注意：注意：注意：注意：注意：注意：注意：注意：注意：注意// 注意：此处我们设置的是"QX1"，但是spring自己会对"QX1"进行处理，会在// 前面追加"ROLE_"字符串，所以后文你会见到设置人员权限的时候出现"ROLE_".antMatchers("/test1").hasRole("QX1")// 有QX2权限的用户才可以访问test2接口 .antMatchers("/test2").hasRole("QX2")// 有QX3权限的用户才可以访问test3接口 .antMatchers("/test3").hasRole("QX3")// 剩下的接口只要登录就可以访问，当然，本文示例中剩余接口数为0.anyRequest().authenticated().and()// 下面的代码和html页面是本系列文章第1和2章节里的内容.formLogin().loginPage("/TestLogin.html").loginProcessingUrl("/myLoginProcess").permitAll().successHandler(new TestReturnJsonValueHandler()).failureHandler(new TestLoginErrorHandler()).and().csrf().disable();}
}

步骤3： 对每个人员设置权限，注意设置权限的时候多了"ROLE_"字符串

@Service
public class TestUserDetailsService implements UserDetailsService {@Resourceprivate PasswordEncoder encoder;@Overridepublic UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {if ("user1".equals(username)) {TestUser user = new TestUser();user.setUsername("用户1");user.setPassword(encoder.encode("123456"));user.setAge(28);user.setBirthday("1996-03-12");// 设置权限，user1有QX1和QX3的权限，注意这里的"ROLE_"，上文有提到String roles = "ROLE_QX1,ROLE_QX3";List<GrantedAuthority> authorityList = AuthorityUtils.commaSeparatedStringToAuthorityList(roles);// 注意：spring security提供了逗号工具类，可以将逗号格式的字符串转换成GrantedAuthority,所以// 下面的代码注释掉，我们直接使用上面这个工具类创建权限List，注释的代码是让你要知道权限是如何new出来的//  List<GrantedAuthority> authorityList = new ArrayList<>();//  for (String role : roles.split(",")) {//      GrantedAuthority authority = new SimpleGrantedAuthority(role);//      authorityList.add(authority);//  }user.setAuthorities(authorityList);return user;}if ("user2".equals(username)) {TestUser user = new TestUser();user.setUsername("用户2");user.setPassword(encoder.encode("123456"));user.setAge(19);user.setBirthday("2005-09-15");// 设置权限，user2有QX2和QX3的权限String roles = "ROLE_QX2,ROLE_QX3";List<GrantedAuthority> authorityList = AuthorityUtils.commaSeparatedStringToAuthorityList(roles);user.setAuthorities(authorityList);return user;}return null;}
}

步骤4： 启动服务，使用帐号"user1"，密码123456登录并访问test1和test3，可以正常访问，访问test2，则页面报错403

步骤5： 当访问没有权限的时候，我不想页面403，我想给前端页面返回一个json字符串，字符串的内容是"没有权限"，首先新建一个用来给前端打印"没有权限"的类，代码如下

public class TestAccessDeniedHandler implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {response.setContentType("application/json;charset=UTF-8");PrintWriter out=response.getWriter();// accessDeniedException.getMessage()out.write("{\"status\",\"403\",\"message\",\"没有权限\"}");out.close();}
}

步骤6： 将上边这个新类注入到权限验证失败的回调函数中，代码和前几章登录失败成功的代码如出一辙，如下

// 注意：这个TestWebSecurityConfigurerAdapter类就是本文的步骤2，只是新增了exceptionHandling()方法
@Service
public class TestWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {@Overrideprotected void configure(HttpSecurity http) throws Exception{http.exceptionHandling()	// 这行是新增的.accessDeniedHandler(new TestAccessDeniedHandler()) // 这行是新增的//.accessDeniedPage("/无权限页面.html") JSON返回，所以注释掉本行.and()// 下面的代码和本文的步骤2是一样的.authorizeRequests().antMatchers("/test1").hasRole("QX1").antMatchers("/test2").hasRole("QX2").antMatchers("/test3").hasRole("QX3").anyRequest().authenticated().and().formLogin().loginPage("/TestLogin.html").loginProcessingUrl("/myLoginProcess").permitAll().successHandler(new TestReturnJsonValueHandler()).failureHandler(new TestLoginErrorHandler()).and().csrf().disable();}
}

步骤7： 重启服务，访问test1，到登录页面，输入帐号user1，密码123456，登录成功，此时访问test1，会在页面上出现json字符串，而不是之前的403加粗字体

本章内容需要注意：
1. 我们设置完接口权限之后，spring security会自动在前面加上"ROLE_"字符串
2. spring提供了AuthorityUtils.commaSeparatedStringToAuthorityList类来创建权限，所以建议我们数据库存储人员权限的时候，应该是逗号分隔的形式，这样要比建立映射表查询方便
3. HttpSecurity.exceptionHandling方法设置权限回调

到了这里，关于spring security的基本功能就已经完成了，后续如果有时间的话我会写一写关于如何实现验证码，单点登录，第三方登录的功能，鉴于目前这些用不到，所以本利系列文章暂时到此为止

这篇关于SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口（权限菜单/权限接口/权限失败后的逻辑）的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---