Security中的@PostAuthorize、@PreFilter和@PostFilter详解
一、Spring Security 可以通过表达式控制方法权限
Spring Security 定义了四个支持使用表达式的注解,分别是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。 其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。 要使它们的定义能够对方法的调用产生影响,需要设置global-method-security元素的pre-post-annotations=”enabled”,默认为disabled: <security:global-method-security pre-post-annotations="disabled"/>
二、使用@PreAuthorize和@PostAuthorize进行访问控制
@PreAuthorize可以用来控制一个方法是否能够被调用。 @PostAuthorize是在方法调用完成后进行权限检查,它不能控制方法是否能被调用,只能在方法调用完成后检查权限决定是否要抛出AccessDeniedException。
@Service
public class UserServiceImpl implements UserService {
@PreAuthorize("hasRole('ROLE_ADMIN')")
public void addUser(User user) {
System.out.println("addUser................" + user);
}
@PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
public User find(int id) {
System.out.println("find user by id............." + id);
return null;
}
}
代码中定义了只有拥有角色 ROLE_ADMIN 的用户才能访问 adduser(),而访问 find() 限定为有 ROLE_USER 角色或 ROLE_ADMIN 角色即可。使用表达式时还可以在表达式中使用方法参数:
public class UserServiceImpl implements UserService {
//限制只能查询Id小于10的用户
@PreAuthorize("#id<10")
public User find(int id) {
System.out.println("find user by id........." + id);
return null;
}
// 限制只能查询自己的信息
@PreAuthorize("wg.username.equals(#username)")
public User find(String username) {
System.out.println("find user by username......" + username);
return null;
}
//限制只能新增用户名称为abc的用户
@PreAuthorize("#user.name.equals('abc')")
public void add(User user) {
System.out.println("addUser............" + user);
}
}
代码中定义了调用 find(int id) 时,只允许参数 id 小于 10 的调用;调用 find(String username) 时只允许 username 为当前用户的用户名;定义了调用 add() 时只有当参数 user 的 name 为 abc 时才可以调用。
有时候在方法调用完之后进行权限检查,这种情况比较少,但是 Spring Security 支持通过 @PostAuthorize 可以达到这一效果。使用 @PostAuthorize 时可以使用内置的表达式 returnObject 表示方法的返回值。
下面这一段示例代码:
@PostAuthorize("returnObject.id%2==0")
public User find(int id) {
User user = new User();
user.setId(id);
return user;
}
代码表示在 find() 调用完成后进行权限检查,如果返回值的 id 是偶数则表示校验通过,否则表示校验失败,将抛出 AccessDeniedException。
三、使用 @PreFilter 和 @PostFilter 进行过滤
使用 @PreFilter 和 @PostFilter 可以对集合类型的参数或返回值进行过滤。使用 @PreFilter 和 @PostFilter 时,Spring Security 将移除使对应表达式的结果为 false 的元素。
@PostFilter("filterObject.id%2==0")
public List<User> findAll() {
List<User> userList = new ArrayList<User>();
User user;
for (int i=0; i<10; i++) {
user = new User();
user.setId(i);
userList.add(user);
}
return userList;
}
代码表示对返回结果中 id 不为偶数的 user 进行移除。filterObject 是使用 @PreFilter 和 @PostFilter 时的一个内置表达式,表示集合中的当前对象。当 @PreFilter 标注的方法拥有多个集合类型的参数时,需要通过 @PreFilter 的 filterTarget 属性指定当前 @PreFilter 是针对哪个参数进行过滤的。
如下面代码就通过 filterTarget 指定了当前 @PreFilter 是用来过滤参数 ids 的。
@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> usernames) {
...
}
到此这篇关于Security中的@PostAuthorize、@PreFilter和@PostFilter详解的文章就介绍到这了,更多相关Security中@PreAuthorize内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!
相关文章
IDEA SpringBoot 项目配置Swagger2的详细教程
这篇文章主要介绍了IDEA SpringBoot 项目配置Swagger2的详细教程,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下2020-11-11
Apache HttpClient是一个功能强大且广泛使用的Java库,它提供了方便的方法来执行HTTP请求并处理响应。本文将介绍如何使用HttpClient库进行HTTP请求,包括GET请求、POST请求、添加参数和请求体、设置请求头等操作,需要的朋友可以参考下2023-05-05
随机数在实际中使用很广泛,比如要随即生成一个固定长度的字符串、数字。或者随即生成一个不定长度的数字、或者进行一个模拟的随机选择等等。Java提供了最基本的工具,可以帮助开发者来实现这一切2014-01-01
这篇文章主要介绍了Java transient关键字与序列化操作,结合实例形式详细分析了java序列化操作相关实现方法与操作注意事项,需要的朋友可以参考下2019-09-09
作为国产数据库,达梦做的不错,提供的迁移工具也相当不错,下面这篇文章主要给大家介绍了关于Mybatis整合达梦数据库的相关资料,文中通过实例代码介绍的非常详细,需要的朋友可以参考下2023-02-02
这篇文章主要介绍了Spring中Cache的使用方法详解,Spring Cache 是一个框架,实现了基于注解的缓存功能,只需要简单地加一个注解,就能实现缓存功能,Spring Cache 提供了一层抽象,底层可以切换不同的缓存实现,需要的朋友可以参考下2024-01-01
完美解决Eclipse导入的项目上有个红叉,但不影响项目运行的问题
这篇文章主要介绍了完美解决Eclipse导入的项目上有个红叉,但不影响项目运行的问题,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧2021-01-01
继承关系中,分为父模块与子模块,父模块也被称为 parent 模块,子模块会继承父模块的依赖,父模块中也可以设置依赖管理器,供子模块选择是否需要某些依赖2022-08-08
这篇文章主要介绍了MDC在多线程中的使用方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教2023-09-09
本篇文章主要介绍了详解springmvc拦截器拦截静态资源,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。2017-01-01
最新评论