关于@EnableGlobalMethodSecurity注解的用法解读
作用
当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。
同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能:
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true, prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}
prePostEnabled
prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解。
从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。
public interface UserService {
List<User> findAllUsers();
@PostAuthorize ("returnObject.type == authentication.name")
User findById(int id);
// @PreAuthorize("hasRole('ADMIN')") 必须拥有 ROLE_ADMIN 角色。
@PreAuthorize("hasRole('ROLE_ADMIN ')")
void updateUser(User user);
@PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")
void deleteUser(int id);
// @PreAuthorize("principal.username.startsWith('Felordcn')") 用户名开头为 Felordcn 的用户才能访问。
// @PreAuthorize("#id.equals(principal.username)") 入参 id 必须同当前的用户名相同。
// @PreAuthorize("#id < 10") 限制只能查询 id 小于 10 的用户
}
@PostAuthorize:
- 该注解使用不多,在方法执行后再进行权限验证。
- 适合验证带有返回值的权限。Spring EL 提供 返回对象能够在表达式语言中获取返回的对象returnObject。
- 区别在于先执行方法。而后进行表达式判断。如果方法没有返回值实际上等于开放权限控制;如果有返回值实际的结果是用户操作成功但是得不到响应。
- 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常。
@PreFilter:
- 集合类型的参数执行过滤,移除结果为false的元素。
- 基于方法入参相关的表达式,对入参进行过滤。分页慎用!该过程发生在接口接收参数之前。
- 入参必须为 java.util.Collection 且支持 remove(Object) 的参数。
- 如果有多个集合需要通过 filterTarget=<参数名> 来指定过滤的集合。
- 内置保留名称 filterObject 作为集合元素的操作名来进行评估过滤。
// 指定过滤的参数,过滤偶数 @PreFilter(filterTarget="ids", value="filterObject%2==0") public void delete(List<Integer> ids, List<String> username)
@PostFilter:
- 和@PreFilter 不同的是, 基于返回值相关的表达式,对返回值进行过滤。
- 分页慎用!该过程发生接口进行数据返回之前。
Secured
@Secured注解是用来定义业务方法的安全配置。
在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。
@Secured缺点(限制)就是不支持Spring EL表达式。不够灵活。并且指定的角色必须以ROLE_开头,不可省略。
该注解功能要简单的多,默认情况下只能基于角色(默认需要带前缀 ROLE_)集合来进行访问控制决策。
该注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。
也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。
不支持使用 SpEL 表达式进行决策。
@Secured({"ROLE_user"})
void updateUser(User user);
@Secured({"ROLE_admin", "ROLE_user1"})
void updateUser();
jsr250E
启用 JSR-250 安全控制注解,这属于 JavaEE 的安全规范(现为 jakarta 项目)。一共有五个安全注解。
如果你在 @EnableGlobalMethodSecurity 设置 jsr250Enabled 为 true
就开启了 JavaEE 安全注解中的以下三个:
1.@DenyAll: 拒绝所有访问
2.@RolesAllowed({“USER”, “ADMIN”}): 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN
3.@PermitAll: 允许所有访问
总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。
相关文章
这篇文章主要介绍了druid配置数据库连接使用密文密码方式,具有很好的参考价值,希望对大家有所帮助,2023-12-12
解析SpringBoot 搭建基于 MinIO 的高性能存储服务的问题
Minio是Apache License v2.0下发布的对象存储服务器,使用MinIO构建用于机器学习,分析和应用程序数据工作负载的高性能基础架构。这篇文章主要介绍了SpringBoot 搭建基于 MinIO 的高性能存储服务,需要的朋友可以参考下2022-03-03
Map在日常开发应用中的频率很高,最常用的实现类是HashMap和有序的TreeMap,下面这篇文章主要给大家介绍了关于java中对象和Map互相转换的几种常见方式举例,需要的朋友可以参考下2024-01-01
聊聊Spring循环依赖三级缓存是否可以减少为二级缓存的情况
这篇文章主要介绍了聊聊Spring循环依赖三级缓存是否可以减少为二级缓存的情况,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-02-02
这篇文章主要介绍了SpringAMQP的使用方式,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧2024-01-01
这篇文章主要介绍了Java 互相关联的实体无限递归问题的解决,具有很好的参考价值,希望对大家有所帮助。如有错误或未考虑完全的地方,望不吝赐教2021-10-10
这篇文章主要介绍了Java线程池7个参数的含义,所谓的线程池的 7 大参数是指,在使用 ThreadPoolExecutor 创建线程池时所设置的 7 个参数,下文更多详细内容,需要的小伙伴可以参考一下2022-05-05
这篇文章主要介绍了Java基于正则表达式实现查找匹配的文本功能,结合具体实例形式分析了java正则查找、字符串遍历、group分组相关操作技巧,需要的朋友可以参考下2017-04-04
SpringBoot+Dubbo+Zookeeper知识整合过程详解
本文首先介绍了分布式系统的基本概念和分类,包括单一应用架构、垂直应用架构、分布式服务架构和流动计算架构,通过一个完整的Spring Boot + Dubbo + Zookeeper框架搭建示例,展示了如何将这些技术整合到一个实际的项目中,感兴趣的朋友一起看看吧2025-02-02
这篇文章主要介绍了Spring Security 如何将用户数据存入数据库,帮助大家更好的理解和学习Spring Security,感兴趣的朋友可以了解下2020-09-09
最新评论