在配置好安全验证之后,还需要配置请求者有权限访问哪些接口,就和用户系统需要配置用户权限一样。通过设置项oneapi.access.permit进行设置。
=连接的左右两部分,等号左边指路径,右边是请求者。*=*都表示允许全部访问。前一个*表示所有接口,后一个星表示所有请求者。/api/*=*表示允许所有请求者访问/api/下的所有接口。/api/example/*=tom表示允许tom访问/api/example/下的所有接口。GET:/api/*=jerry表示允许jerry访问/api/目录下请求方法为GET的所有接口。/api/example/test=tom,jerry表示tom和jerry可以访问接口/api/example/test。GET,POST:/api/score/*=tom表示tom可以使用请求方法GET或POST访问/api/score/目录下的所有接口。GET,PUT:/api/example/*,/api/score/*=tom,jerry表示tom和jerry可以通过GET和POST方法访问目录/api/example/和/api/score/下的所有接口。访问安全控制同时适用于基于登录用户的访问控制,与 Token 不同,在控制规则的等号=右侧,可以设置用户的角色或者用户名,角色以@开头。即以@开头的是角色,否则是用户名。
上例中/api/*=sam,@teacher表示把用户sam和角色@teacher可以访问/api/目录下的所有接口。
参考链接
