Spring Security：ROLE_ANONYMOUS和IS_AUTHENTICATED_ANONYMOUSLY的區別

Question

在Spring Security中，ROLE_ANONYMOUS和IS_AUTHENTICATED_ANONYMOUSLY有什麼區別。

換句話說，RoleVoter和AuthenticatedVoter有什麼不同？

Answer 1

從spring security documentation的相關章節，

你會經常看到在上面的攔截 配置IS_AUTHENTICATED_ANONYMOUSLY與 替換，這是 有效同樣的事情時定義訪問控制 的ROLE_ANONYMOUS 屬性。這是使用 AuthenticatedVoter的一個 示例，我們將在授權章節中看到 。它使用 的AuthenticationTrustResolver到 處理此特定配置 屬性並授予訪問權限給 匿名用戶。 AuthenticatedVoter方法更強大，因爲它允許您區分匿名， 記住我和完全認證的 用戶。如果你不需要這個 的功能，那麼你可以用 粘附ROLE_ANONYMOUS，這將會被 標準的RoleVoter處理。

此外，從盧克的評論有關jira issue，

匿名訪問的問題是部分 歷史。最初引入的匿名標記爲 （即 ROLE_ANONYMOUS），這將允許您使用 「具有安全性的默認」 配置以及特定的 例外。在 AuthenticatedVoter使用被介紹給 以後階段讓你 不同級別的認證的區別 - anonyous，記得，我和 完全認證（即在 當前會話過程中記錄）。除非您需要 AuthenticatedVoter提供的額外 功能，否則我已向 添加了額外的一位給匿名 一章以解釋它們是 。