聊聊我们为什么要设计匿名用户

匿名用户是聊聊很多同学不理解的一个概念，这一章胖哥尝试来解读一下匿名用户，为名用希望能帮你更好的什设理解这个概念。

流程一致性

通常情况下所有的计匿资源访问都应该是有条件的。用来验证这些条件的聊聊流程也应该是一致的。我们来看实际生活中的为名用一个例子，老王是什设一家公司的老板，他的计匿车进地下车库是免费的，其他人进地下车库是聊聊计费的。我们来思考如何实现这个需求。为名用

如果流程不一致的什设话，需要两条道，计匿一条是聊聊VIP通道(让老王走)，一条是为名用大众通道(给其他人用)，云服务器这两个通道的什设维护成本会很高，还有人会经常走错道，甚至招致不满，凭啥他要搞特权;如果流程一致，这事就好办多了，不管是谁都得按同一个通道流程进入停车场，只需要维护一个VIP标签就行了，成本大大降低，流程也简化了，还显得老王没有架子。这个VIP标签就是所谓的“匿名用户”。

Spring Security匿名用户

Spring Security中专门设计了匿名用户，它的作用其实也是为了在保证流程一致的前提下去执行一些特殊的认证逻辑，比如程序的登录、主页的数据接口，这些未认证的用户场景需要绕过访问控制检查，通过引入一个特殊的“匿名身份”可以做到这一点，匿名用户可以做什么、不可以做什么都可以轻松定义， 这就是我们所说的服务器托管匿名身份验证。

请注意：“经过匿名身份验证”的用户和未经身份验证的用户之间没有真正的差异，你可以认为匿名用户就是未认证用户，你也可以认为匿名用户是执行了匿名认证流程后的认证用户。

匿名用户的配置

匿名用户是认证体系最后的一道认证流程，负责匿名认证的过滤器是AnonymousAuthenticationFilter，当发现请求不具备任何其它认证条件后，会生成一个AnonymousAuthenticationToken，它包含三个属性：

keyHash 仅仅在AnonymousAuthenticationFilter和AnonymousAuthenticationProvider之间共享， 以避免一些恶意客户端去伪造AnonymousAuthenticationToken。

权限控制只需要针对ROLE_ANONYMOUS进行限制即可，也可以通过认证投票器AuthenticatedVoter的IS_AUTHENTICATED_ANONYMOUSLY属性来限制。

下面这几种配置都可以用来控制匿名用户的访问权限：

http

.authorizeRequests()

.mvcMatchers("/anonymous0").access("hasAuthority(ROLE_USER)")

.mvcMatchers("/anonymous1").hasAuthority("ROLE_ANONYMOUS")

.mvcMatchers("/anonymous2").hasRole("ANONYMOUS")

.mvcMatchers("/anonymous3").access("isAnonymous()")

.mvcMatchers("/anonymous4").access("IS_AUTHENTICATED_ANONYMOUSLY")

.mvcMatchers("/anonymous5").anonymous()

获取匿名用户

Spring MVC中使用它自己的参数解析器来获取当前Principal：

@GetMapping("/")

public String method(Authentication authentication) {

if (authentication instanceof AnonymousAuthenticationToken) {

return "anonymous";

} else {

return "not anonymous";

}

}

以上方式将永远返回not anonymous，即使是匿名请求。如果您想获取匿名请求的Authentication，请改用@CurrentSecurityContext：

@GetMapping("/")

public String method(@CurrentSecurityContext SecurityContext context) {

Authentication authentication = context.getAuthentication()

if (authentication instanceof AnonymousAuthenticationToken) {

return "anonymous";

} else {

return "not anonymous";

}

}

你想一想还有没有其它方式去获得匿名用户?