最近在研究spring security時,大概研究了一下Authority、Role之間到底有什么本質的區別。
如果你使用的是hasRole方法來判斷你的登錄用戶是否有權限訪問某個接口,那么你初始化User時,放入的GrantedAuthority的字符就需要包含ROLE_前綴,參見下圖紅箭頭:
接口訪問權限配置應該是這樣:
或者是這樣:
如果你使用的是hasAuthority,那么你初始化User時,放入的GrantedAuthority的字符就不需要包含ROLE_前綴了,參見下圖紅箭頭:
接口訪問權限配置應該是這樣:
或者是這樣:
我使用的是spring security 5.1.6版本,從源碼的角度可以看出使用不同的hasAuthority、hasRole方法判斷權限時的區別,其實他們最終調用的都是hasAnyAuthorityName()方法,唯一不同的就是hasRole()在調用時,傳遞了前綴defaultRolePrefix,這就導致了他們兩者之間比較的字符產生了差異。spring security應該想代表的意思就是權限字符加了ROLE_就是角色Role,如果沒有加就是一個權限Authority,大家根據自己的實際情況靈活選用就好啦,希望給大家解釋清楚了~。
