Spring Security笔记

权限设置问题

http.authorizeRequests()
        //放行login
        .antMatchers("/checkLogin","/login.html").permitAll()
        .antMatchers("/pages/admin/**").hasRole("人事部主任")
        .antMatchers("/pages/bmAdmin/**").hasRole("部门主任")
        .antMatchers("/pages/emp/**").hasRole("部门员工")
        .antMatchers("/pages/renshi/**").hasRole("人事部员工");

按上面设置后，项目接口可以无权限访问，需要添加一条

.anyRequest().authenticated();

所有请求都需要具有角色权限。

当项目加入权限控制后，所有请求都会走一遍Spring Security，但如果当前发送请求的对象没有登陆时，会返回到设置的

.failureForwardUrl("/index.html");

上述路径中。

如果已经登录，但无此请求所需权限，则会直接跳转到设置的403页面中。