Spring Security的FilterSecurityInterceptor测试
Spring Security的FilterSecurityInterceptor测试
1、用户角色匹配资源角色,访问资源成功
(1)进入FilterInvocationSecurityMetadataSource
- 请求URI以及方法
![image]()
- 与之相匹配的资源URI及其可访问角色列表
- 返回角色列表
(2)AccessDecisionManager
- 当前用户的角色列表
- 访问的资源的角色列表
- 当访问的资源角色与当前用户的角色匹配时,返回放行
2、放行没有角色列表的资源
(1)FilterInvocationSecurityMetadataSource
return null 放行,不会走AccessDecisionManager
3、禁止没有角色列表的资源
(1)FilterInvocationSecurityMetadataSource
(2)AccessDecisionManager
抛出AccessDeniedException,禁止访问
浙公网安备 33010602011771号