自定义实现 AuthorizationManager 接口

当内置管理器无法满足需求时，可实现 AuthorizationManager<T> 接口自定义授权管理器。这样我们就可以根据业务需要，实现更复杂到授权管理。例如：

http.authorizeHttpRequests(authorize -> authorize
    // 需要具有 admin 角色权限才能访问 /sys 路径的请求
    .requestMatchers("/sys/**").access(new AuthorizationManager<RequestAuthorizationContext>() {
        @Override
        public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext object) {
            boolean isAllowed = false;

            // 判断是否拥有 my-header 请求头，并且值为 hxstrive.com
            String myHeader = object.getRequest().getHeader("my-header");
            if(Objects.equals(myHeader, "hxstrive.com")) {
                isAllowed = true; // 允许访问
            }

            return new AuthorizationDecision(isAllowed);
        }
    })
    .anyRequest().authenticated() // 其他请求需认证
)

重启应用，访问 http://localhost:8080/sys/add 地址验证，如下图：

（1）访问成功

（2）访问失败

自定义实现 AuthorizationManager 接口

上一章：MethodExpressionAuthorizationManager 授权管理器下一章：基于表达式的访问控制

说说我的看法

* 必填

全部评论（0）

没有评论

更多教程

关于

本网站专注于 Java、数据库（MySQL、Oracle）、Linux、软件架构及大数据等多领域技术知识分享。涵盖丰富的原创与精选技术文章，助力技术传播与交流。无论是技术新手渴望入门，还是资深开发者寻求进阶，这里都能为您提供深度见解与实用经验，让复杂编码变得轻松易懂，携手共赴技术提升新高度。如有侵权，请来信告知：hxstrive@outlook.com

链接

其他应用

开源镜像网站

公众号