Органичение доступа к ресурсам по авторизации пользователей (по ролям)
Создаем приложение с помощью Spring Initializer с модулями:
- Core
- Spring Boot DevTools
- Security
- Spring Security
- Web
- Spring Web Starter
Вот сгенерированный pom.xml для maven:
<project xmlns="" xmlns:xsi=""
<relativePath/> <!-- lookup parent from repository -->
<description>Demo project for Spring Boot</description>
Теперь нам нужно настроить Spring Security.
Для этого нам необходимо создать класс конфигурацции и наследовать его от WebSecurityConfigurerAdapter
Создадим пакет config, в который будет размещать наши классы-конфигурации
Определим в ней следующий класс:
* @author Arthur Kupriyanov
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private AccessDeniedHandler accessDeniedHandler;
// роль admin всегда есть доступ к /admin/**
// роль user всегда есть доступ к /user/**
// Наш кастомный "403 access denied" обработчик
protected void configure(HttpSecurity http) throws Exception {
.antMatchers("/", "/index", "/about").permitAll()
// создаем пользоватлелей, admin и user
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
Здесь мы определили права доступа к ресурсам по ролям:
- эти страницы будут доступны всем/user/**
- страницы совпадающие с этим выражением (начинаются с /user/...) будут доступны пользователям с ролью USER/admin/**
- будут доступны пользователям с ролью ADMIN
Метод configure(HttpSecurity) определяет, какие URL пути должны быть защищены, а какие нет. В частности, «/» и «/home» настроены без требования к авторизации. Ко всем остальным путям должна быть произведена аутентификация.
Когда пользователь успешно войдет в систему, он будет перенаправлен на предыдущую запрашиваемую страницу, требующую авторизацию.
Метод configure(AuthenticationManagerBuilder), то он создает в памяти хранилище пользователей, в нашем случае их 2 user и admin
Вот этот фрагмент кода нужен чтобы правильно обработать ошибку 403 (Forbidden («запрещено (не уполномочен)»)) :
private AccessDeniedHandler accessDeniedHandler;
Но необходимо определить этот бин:
package com.apploidxxx.heliosbackend.handers;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.stereotype.Component;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
* @author Arthur Kupriyanov
* обрабатывает 403 ошибку перенаправляя в случае ее вызова на /403 страницу
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
private static Logger logger = LoggerFactory.getLogger(CustomAccessDeniedHandler.class);
public void handle(HttpServletRequest httpServletRequest,
HttpServletResponse httpServletResponse,
AccessDeniedException e) throws IOException, ServletException {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null){"User '" + auth.getName() + "' tried to access the URL: " + httpServletRequest.getRequestURI());
httpServletResponse.sendRedirect(httpServletRequest.getContextPath() + "/403");
Для простого примера добавим RestController и Mappings:
package com.apploidxxx.springsecurityexample.controllers;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
* @author Arthur Kupriyanov
public class TestController {
@RequestMapping(value = {"/", "/index"})
public String index() {
return "index";
public String admin() {
return "admin";
public String user() {
return "user";
public String about() {
return "about";
public String login() {
return "login";
public String error403() {
return "Error page";
И также точку входа нашего Spring Boot приложения:
package com.apploidxxx.springsecurityexample;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
public class SpringSecurityExampleApplication {
public static void main(String[] args) {, args);
* если вы создавали проект с помощью Spring Initializer, то нет необходимости создавать его вручную
Теперь когда мы (будучи незарегистрированными) попытаемся получить доступ к закрытым ресурсам (/user/..
и /admin/..
то получим редирект на страницу /login
Исходные коды :