spring security http intercept-url access配置所有的属性值穷举列表

spring | 2019-09-13 10:02:39

通常在在使用spring security时，会做如下配置：

<http>
<intercept-url pattern="/login.jsp" access="hasRole('ROLE_ANONYMOUS')" />
<intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
</http>

很明显access的值表示有什么权限才能访问。那么access有哪些值呢？

Spring Security 提供的 SpEL 方法和伪属性在以下的表格中进行了描述。要注意的是没有被标明“ web only ”的方法和属性可以在保护其他类型的资源中使用，如在保护方法调用时。示例表示的方法和属性是使用在 <intercept-url> 的 access 声明中。

方法	Web only?	描述	示例
hasIpAddress (ipAddress)	Yes	用于匹配一个请求的 IP 地址或一个地址的网络掩码	access="hasIpAddress(' 162.79.8.30')" access="hasIpAddress(' 162.0.0.0/224')"
hasRole(role)	No	用于匹配一个使用 GrantedAuthority 的角色（类似于 RoleVoter ）	access="hasRole('ROLE USER')"
hasAnyRole(role)	No	用于匹配一个使用 GrantedAuthority 的角色列表。用户匹配其中的任何一个均可放行。	access="hasRole('ROLE_ USER','ROLE_ADMIN')"

需要注意的是使用has这些SpEL 表达式，要使用use-expressions 配置为true。

当然默认就是true,可以使用表达式语言。

除了以上表格中的方法，在 SpEL 表达式中还有一系列的方法可以作为属性。它们不需要圆括号或方法参数。

方法	Web only?	描述	示例
permitAll	No	任何用户均可访问	access="permitAll"
denyAll	NO	任何用户均不可访问	access="denyAll"
anonymous	NO	匿名用户可访问	access="anonymous"
authenticated	NO	检查用户是否认证过	access="authenticated"
rememberMe	No	检查用户是否通过 remember me 功能认证的	access="rememberMe"
fullyAuthenticated	No	检查用户是否通过提供完整的凭证信息来认证的	access="fullyAuthenticated"

登录后即可回复登录 | 注册

struts2 result type全部所有类型配置详解 spring事务管理配置的三种方法介绍 java spring配置事务回滚的案例方法 spring事务配置多个目录包多个切点execution的方法 spring security 配置需要登录才能访问出错 role user cannot be found spring security自定义登录界面报错：logout isn t a valid redirect url spring security自定义登录界面出现is authenticated anonymously错误 spring security http intercept url access配置所有的属性值穷举列表 spring security+extjs 自定义登录和退出登录界面完整代码案例 spring security密码md5加密和standardpasswordencoder的配置详解 spring+kafka 注解和xml配置消费者的方式 php 上下文（context）选项和参数 http context 的选项列表 php url 函数取得服务器响应一个 http 请求所发送的所有标头 php php 选项/信息函数获取所有配置选项 eureka server 开启 spring security 安全认证 Spring Security permitAll开放页面权限解除token验证的问题 spring cloud使用nacos在bootstrap.properties配置spring.profiles.active无效 Spring security spring security oauth2 jwt rsa非对称加密 Spring Security动态权限验证