关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用

承接上篇：Spring Security整合后post数据不了，403拒绝访问

前几天想要限制不同角色的访问权限，于是就直接使用：

@PreAuthorize("hasRole('ROLE_ADMIN')")

注解来标注一个实现类的方法上，但是其他权限依然可以访问 orz，于是我怀疑是放的位置不对，于是放在了Service接口里的方法上，也未果。于是直接放在Controller层的访问方法上，还是未果 ==|||

好了，上网查了一番：Spring Security @PreAuthorize 拦截无效

这篇文章刚好戳中要点：

没有设置开启prePostEnable=true;因为这个默认为false；

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter{
@Bean
UserDetailsService customUserService() {
return new CustomUserService();
}
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(customUserService());
}

@Bean
@Override
protected AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}

@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/test","/test1").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage(RequestUrls.LoginUrl)
.failureUrl(RequestUrls.LoginUrl+"?error")
.permitAll()
.and()
.logout().permitAll();
}
}

如上，添加：

@EnableGlobalMethodSecurity(prePostEnabled=true)

@Bean
@Override
protected AuthenticationManager authenticationManager() throws Exception {
return super.authenticationManager();
}

以及：

@Autowired//注意这个方法是注入的
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(customUserService());
}

就酱紫~权限访问完美解决了！！