-
有关permission表,未来需要进一步改进
本次项目中,我是通过在Controller中写toXxxx的GET请求方法并设置限定的权限来阻止没有相应权限的用户访问页面的,在permission表中,我的url全部写的是请求路径(例如employee/toList),to方法起到一个验证权限的作用,通过才可以return指定页面,将访问扼杀在to方法里,而不是ApiController访问页面地址(例如/api/getPage/?pageName=xxx/yyy.html),所以其实还是可以访问到的(或许删了ApiController就可以防范吧)。
@GetMapping("/toList")
@PreAuthorize("hasAuthority('emp:emp')")
public String toList() {
return "/employee/employee-list";
}
虽然还是没太看懂教程里是如何做到拦截的,我觉得我的方法是可行的。
不过这次图方便,删掉了各项通知在permission中的url,以后应该把这些设置成按钮,还是需要设置权限的,但不用在菜单显示。
网友评论