В чем разница между ROLE_USER и ROLE_ANONYMOUS в конфигурации URL-адреса перехвата Spring?
В чем разница между ROLE_USER и ROLE_ANONYMOUS в конфигурации URL-адреса перехвата Spring, например, в приведенном ниже примере?
<http auto-config="false" access-decision-manager-ref="accessDecisionManager"
use-expressions="true">
<intercept-url pattern="/admin/**" access="hasRole('ROLE_ANONYMOUS')"
requires-channel="http" />
<intercept-url pattern="/login/**" access="hasRole('ROLE_ANONYMOUS')"
requires-channel="${application.secureChannel}" />
<intercept-url pattern="/error/**" access="hasRole('ROLE_ANONYMOUS')"
requires-channel="http" />
<intercept-url pattern="/register/**" access="hasRole('ROLE_ANONYMOUS')"
requires-channel="${application.secureChannel}" />
<intercept-url pattern="/" access="hasRole('ROLE_ANONYMOUS')"
requires-channel="http" />
<intercept-url pattern="/**" access="hasRole('ROLE_USER')"
requires-channel="http" />
<form-login login-page="/login" login-processing-url="/login/submit"
authentication-failure-url="/login/error" />
<logout logout-url="/logout" />
</http>
2 ответа
ROLE_ANONYMOUS - роль по умолчанию, назначаемая неаутентифицированному (анонимному) пользователю, когда конфигурация использует фильтр Spring Security "anonymous authentication" . Эта роль включена по умолчанию. Однако, вероятно, будет понятнее, если вместо этого использовать выражение isAnonymous(), которое имеет тот же смысл.
ROLE_USER не имеет смысла, если вы не назначаете эту роль своим пользователям при аутентификации (вы отвечаете за загрузку ролей (полномочий) для аутентифицированного пользователя). Это не имя, которое встроено в инфраструктуру Spring Security. В приведенном примере, предположительно, эта роль назначена аутентифицированному пользователю.
ROLE_ANONYMOUS не имеет учетных данных пользователя, ROLE_USER имеет учетные данные ... был аутентифицирован.
это моя интерпретация на основе предоставленной конфигурации