Spring Security 4 中的 hasRole 和 hasAuthority 差异引发的思考

前言：

在使用 Spring Security 的时候我们必然会使用到如下两种访问权限配置中的一种：

• 第一种：

http.authorizeRequests()
        .antMatchers("/root/**").hasAuthority("root")
        .antMatchers("/admin/**").hasAuthority("admin")
        .anyRequest().authenticated()

• 第二种：

http.authorizeRequests()
        .antMatchers("/root/**").hasRole("root")
        .antMatchers("/admin/**").hasRole("admin")
        .anyRequest().authenticated()

那么这两种配置有什么区别呢？今天就来聊一聊这个问题。

---

一、源码分析：

hasAuthority 实现如下：

我们在调用 hasAuthority 方法时，如果数据是从数据库中查询出来的，这里的权限和数据库中保存一致即可，可以不加 ROLE_ 前缀。即数据库中存储的用户角色如果是 admin，这里就是 admin。

hasRole 实现如下：

可以看到，hasRole 的处理逻辑和 hasAuthority 似乎差不多，不同的是，hasRole 这里会自动给传入的字符串加上 ROLE_ 前缀，所以在数据库中的权限字段的值需要加上 ROLE_ 前缀。即数据库中存储的用户角色如果是 ROLE_root，这里就是 root。

综上：使用 hasAuthority 显得更加方便，不用考虑要不要加 ROLE_ 前缀，数据库权限字段的值是什么样就是什么样。而 hasRole 则不同，代码里如果写的是 root，框架会自动加上 ROLE_ 前缀，所以数据库就必须是 ROLE_root。

看起来 hasAuthority 和 hasRole 的区别就是有没有 ROLE_ 前缀。然而在最终的权限比对中 hasAuthority 和 hasRole 居然最终都是调用了 hasAnyAuthorityName 方法。

hasAnyRole 在调用 hasAnyAuthorityName 方法时设置了 ROLE_ 前缀，hasAnyAuthority 在调用 hasAnyAuthorityName 方法时没有设置前缀。

所以我们单纯从源码角度来看，hasRole 和 hasAuthority 这两个功能似乎一模一样，除了前缀之外就没什么区别了。

那么 Spring Security 设计者为什么要弄两个功能几乎一模一样的东西呢？

authority 描述的的是一个具体的权限，例如针对某一项数据的查询或者删除权限，它是一个 permission，例如 read_employee、delete_employee、update_employee 之类的，这些都是具体的权限，相信大家都能理解。

role 则是一个 permission 的集合，它的命名约定就是以 ROLE_ 开始，例如我们定义的 ROLE 是 ROLE_ADMIN、ROLE_USER 等等。我们在 Spring Security 中的很多地方都能看到对 Role 的特殊处理，权限管理的投票器与表决机制中，RoleVoter 在处理 Role 时会自动添加 ROLE_ 前缀。

在项目中，我们可以将用户和角色关联，角色和权限关联，权限和资源关联。

---

github 上 Spring Security 的 issue 有人提出了类似问题：https://github.com/spring-projects/spring-security/issues/4912

从作者对这个问题的回复中，可以得出：

1、作者承认了目前加 ROLE_ 前缀的方式一定程度上给开发者带来了困惑，但这是一个历史积累问题。
2、作者说如果不喜欢 ROLE_，那么可以直接使用 hasAuthority 代替 hasRole，言下之意，就是这两个功能是一样的。
3、作者还说了一些关于权限问题的看法，权限是典型的对对象的控制，但是 Spring Security 开发者不能向 Spring Security 用户添加所有权限，因为在大多数系统中，权限都过于复杂庞大而无法完全包含在内存中。当然，如果开发者有需要，可以自定义类继承自 GrantedAuthority 以扩展其功能。

从作者的回复中我们也可以看出来，hasAuthority 和 hasRole 功能上没什么区别，设计层面上确实是两个不同的东西。

---

比较 Spring Security 几次大版本的更新，可以得出在 Spring Security 4 之前，hasAuthority 和 hasRole 几乎是一模一样的，没有 ROLE_ 的区别。就是说 hasRole(“root”) 和 hasAuthority(“root”) 是一样的。而在 Spring Security 4 之后，才有了前缀 ROLE_ 的区别。

Spring Security 3 迁移至 Spring Security 4 更新说明文档如下：https://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-jc.html#m3to4-role-prefixing