我希望用户可以根据自己的角色访问html页面。例如,只有具有HR角色的人员才能查看settings.html页面,只有经理人才能看到pendingrequest.html。
这是我的安全配置:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private DatabaseAuthenticationProvider authenticationProvider;
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/js/**", "/css/**", "/img/**");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.formLogin().loginPage("/login").failureUrl("/login").defaultSuccessUrl("/")
.and().logout().logoutSuccessUrl("/login")
.and().authorizeRequests().antMatchers("/login").permitAll()
.antMatchers("/settings.html").hasRole("HR")
.antMatchers("/pendingRequests.html").hasRole("MANAGER")
.antMatchers("/settings.html","/pendingRequests.html").hasRole("ADMIN")
.anyRequest().authenticated().and().csrf().disable();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.authenticationProvider(authenticationProvider).eraseCredentials(false);
}
}
由于某些原因,我在那里尝试的并不起作用,无论我有什么角色,我都看不到这些页面。
答案 0 :(得分:0)
默认情况下,Spring安全性会为安全检查中定义的所有角色添加ROLE_前缀。
您可以重命名角色名称以使用ROLE_前缀或从配置中删除该前缀(How do I remove the ROLE_ prefix from Spring Security with JavaConfig?)