URI の名前空間に基づいて承認を実装する必要があります。たとえば、localhost:8080/common/* すべての種類のユーザーがアクセスでき、 localhost:8080/admin/ *は管理者ユーザーのみがアクセスできます。
ログイン用にすでに UsernamePasswordAuthenticationFilter を使用しましたが、各リクエストの承認を確認する方法がわかりません。
春のセキュリティでこの種の承認を実装する方法を教えてもらえますか?
ありがとうございます。それでは、お元気で。
これは、
<intercept-url> element
Intercept-url 要素を使用して、ant パス スタイルの構文を使用して着信要求の URL と照合されるパターンを定義できます。
たとえば、Spring 3.0 + SpEL を使用する場合:
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/common/*" access="permitAll" />
<intercept-url pattern="/registered/*" access="hasAnyRole('ROLE_USER,ROLE_ADMIN')" />
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
</http>
SpEL サポートがない場合は、次のように使用します。
<http auto-config='true'>
<intercept-url pattern="/common/*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
<intercept-url pattern="/registered/*" access="ROLE_USER,ROLE_ADMIN" />
<intercept-url pattern="/admin/*" access="ROLE_ADMIN" />
</http>
更新- JSP/JSP で転送を行っている場合は、http 要素に once-per-request="false" を設定する必要があります。
以下も参照してください。