美文网首页java
Spring Security中@PreAuthorize、@P

Spring Security中@PreAuthorize、@P

作者: Djbfifjd | 来源:发表于2020-06-29 15:37 被阅读0次

    一、Spring Security中可以通过表达式控制方法权限

    Spring Security中定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。要使它们的定义能够对方法的调用产生影响,需要设置global-method-security元素的pre-post-annotations=”enabled”,默认为disabled:
    <security:global-method-security pre-post-annotations="disabled"/>

    二、使用@PreAuthorize和@PostAuthorize进行访问控制

    @PreAuthorize可以用来控制一个方法是否能够被调用。
    @PostAuthorize是在方法调用完成后进行权限检查,它不能控制方法是否能被调用,只能在方法调用完成后检查权限决定是否要抛出AccessDeniedException。

    @Service
    public class UserServiceImpl implements UserService {
       @PreAuthorize("hasRole('ROLE_ADMIN')")
       public void addUser(User user) {
          System.out.println("addUser................" + user);
       }
       @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
       public User find(int id) {
          System.out.println("find user by id............." + id);
          return null;
       }
    }
    

    代码中定义了只有拥有角色ROLE_ADMIN的用户才能访问adduser()方法,而访问find()方法限定为有ROLE_USER角色或ROLE_ADMIN角色即可。使用表达式时还可以在表达式中使用方法参数:

    public class UserServiceImpl implements UserService {
       //限制只能查询Id小于10的用户
       @PreAuthorize("#id<10")
       public User find(int id) {
          System.out.println("find user by id........." + id);
          return null;
       }
       // 限制只能查询自己的信息
       @PreAuthorize("wg.username.equals(#username)")
       public User find(String username) {
          System.out.println("find user by username......" + username);
          return null;
       }
       //限制只能新增用户名称为abc的用户
       @PreAuthorize("#user.name.equals('abc')")
       public void add(User user) {
          System.out.println("addUser............" + user);
       }
    }
    

    代码中定义了调用find(int id)方法时,只允许参数id小于10的调用;调用find(String username)时只允许username为当前用户的用户名;定义了调用add()方法时只有当参数user的name为abc时才可以调用。

    有时候在方法调用完之后进行权限检查,这种情况比较少,但是Spring Security支持通过@PostAuthorize可以达到这一效果。使用@PostAuthorize时可以使用内置的表达式returnObject表示方法的返回值。

    下面这一段示例代码:

    @PostAuthorize("returnObject.id%2==0")
    public User find(int id) {
       User user = new User();
          user.setId(id);
          return user;
    }
    

    代码表示在方法find()调用完成后进行权限检查,如果返回值的id是偶数则表示校验通过,否则表示校验失败,将抛出AccessDeniedException。

    三、使用@PreFilter和@PostFilter进行过滤

    使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。

     @PostFilter("filterObject.id%2==0")
      public List<User> findAll() {
          List<User> userList = new ArrayList<User>();
          User user;
          for (int i=0; i<10; i++) {
             user = new User();
             user.setId(i);
             userList.add(user);
          }
          return userList;
       }
    

    代码表示对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。

    如下面代码就通过filterTarget指定了当前@PreFilter是用来过滤参数ids的。

    @PreFilter(filterTarget="ids", value="filterObject%2==0")
    public void delete(List<Integer> ids, List<String> usernames) {
          ...
    }
    

    相关文章

      网友评论

        本文标题:Spring Security中@PreAuthorize、@P

        本文链接:https://www.haomeiwen.com/subject/vkgofktx.html