A股上市公司传智教育(股票代码 003032)旗下技术交流社区北京昌平校区

 找回密码
 加入黑马

QQ登录

只需一步,快速开始

2.3 方法授权实现
2.3.1资源服务添加授权控制
1、要想在资源服务使用方法授权,首先在资源服务配置授权控制
1)添加spring-cloud-starter-oauth2依赖。
2)拷贝授权配置类ResourceServerConfig。
3)拷贝公钥。  
2.3.2方法上添加注解
通常情况下,程序员编写在资源服务的controller方法时会使用注解指定此方法的权限标识。
1、查询课程列表方法 指定查询课程列表方法需要拥有course_find_list权限。
[AppleScript] 纯文本查看 复制代码
@PreAuthorize("hasAuthority('course_find_list')") @Override 
public QueryResult<CourseInfo> findCourseList(@PathVariable("page") int page,    
                                           @PathVariable("size") int size,         
                                      CourseListRequest courseListRequest)

2、查看课程基本信息方法
指定查询课程基本信息方法需要拥有course_get_baseinfo权限。

[AppleScript] 纯文本查看 复制代码
@PreAuthorize("hasAuthority('course_get_baseinfo')") 
@Override public CourseBase getCourseBaseById(@PathVariable("courseId") String courseId) 

3、在资源服务(这里是课程管理)的ResourceServerConfig类上添加注解,激活方法上添加授权注解

[AppleScript] 纯文本查看 复制代码
//激活方法上的PreAuthorize注解
 @EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)

2.4 方法授权测试
重启课程管理服务,测试上边两个方法。
使用postman测试,测试前执行登录,并且将jwt令牌添加到header。
  1)Get 请求 http://www.xuecheng.com/api/cour ... 45f01617f9dabc40000 用户拥有course_get_baseinfo权限,可以正常访问


2) Get请求 http://www.xuecheng.com/api/course/coursebase/list/1/2
由于用户没有查询课程列表方法的权限,所以无法正常访问,其它方法可以正常访问。


控制台报错:
org.springframework.security.access.AccessDeniedException: 不允许访问 说明:如果方法上没有添加授权注解spring security将不进行授权控制,只要jwt令牌合法则可以正常访问。  
3)异常处理
上边当没有权限访问时资源服务应该返回下边的错误代码:




0 个回复

您需要登录后才可以回帖 登录 | 加入黑马