Spring Security中如何配置URL访问权限？ -

题目

Spring Security中如何配置URL访问权限？

信息

类型：问答
难度：⭐

考点

HttpSecurity配置,URL权限控制,角色权限管理

快速回答

在Spring Security中配置URL访问权限的核心步骤：

继承WebSecurityConfigurerAdapter创建配置类
重写configure(HttpSecurity http)方法
使用authorizeRequests()配合antMatchers()定义路径规则
通过hasRole()、permitAll()等方法设置访问权限
注意路径匹配顺序（从具体到通用）

## 解析

原理说明

Spring Security通过HttpSecurity对象配置URL访问控制链。权限规则按声明顺序从上到下匹配，匹配成功后不再继续验证后续规则。核心方法：

authorizeRequests()：开启URL权限配置
antMatchers()：指定URL路径模式
hasRole()/hasAuthority()：要求特定角色/权限
permitAll()：允许所有访问
authenticated()：需登录认证

代码示例

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")         // 管理员路径
                .antMatchers("/user/profile").authenticated()      // 需登录
                .antMatchers("/", "/public/**").permitAll()        // 公开访问
                .anyRequest().authenticated()                      // 其他所有路径需登录
            .and()
            .formLogin();                                          // 启用表单登录
    }
}

最佳实践

路径顺序：将最具体的路径放在前面，通用路径（如anyRequest()）放在最后
角色命名：使用hasRole()时省略ROLE_前缀（系统自动添加）
最小权限原则：默认拒绝所有，显式开放必要路径
结合注解：可在Controller方法添加@PreAuthorize进行细粒度控制

常见错误

顺序错误：将anyRequest().permitAll()放在开头导致所有规则失效
角色前缀问题：数据库中存储ROLE_ADMIN但配置写hasRole("ROLE_ADMIN")（正确应写hasRole("ADMIN")）
路径匹配错误：使用*匹配单级目录，**匹配多级目录（如/resources/**）
忽略静态资源：未开放CSS/JS文件路径导致页面样式异常

扩展知识

权限表达式：支持SpEL表达式如antMatchers("/api").access("hasRole('ADMIN') and hasIpAddress('192.168.1.0/24')")
方法级安全：通过@EnableGlobalMethodSecurity(prePostEnabled = true)启用@PreAuthorize注解
测试工具：使用MockMvc+@WithMockUser测试权限配置
动态权限：自定义SecurityMetadataSource实现数据库驱动的权限管理