文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

@EnableGlobalMethodSecurity注解怎么使用

2023-07-05 13:54

关注

本文小编为大家详细介绍“@EnableGlobalMethodSecurity注解怎么使用”,内容详细,步骤清晰,细节处理妥当,希望这篇“@EnableGlobalMethodSecurity注解怎么使用”文章能帮助大家解决疑惑,下面跟着小编的思路慢慢深入,一起来学习新知识吧。

作用

当我们想要开启spring方法级安全时,只需要在任何 @Configuration实例上使用 @EnableGlobalMethodSecurity 注解就能达到此目的。

同时这个注解为我们提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三种不同的机制来实现同一种功能:

@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(jsr250Enabled = true, prePostEnabled = true, securedEnabled = true)public class WebSecurityConfig extends WebSecurityConfigurerAdapter {}

@EnableGlobalMethodSecurity注解怎么使用

prePostEnabled 

prePostEnabled = true 会解锁 @PreAuthorize 和 @PostAuthorize 两个注解。

从名字就可以看出@PreAuthorize 注解会在方法执行前进行验证,而 @PostAuthorize 注解会在方法执行后进行验证。

public interface UserService {    List<User> findAllUsers();    @PostAuthorize ("returnObject.type == authentication.name")    User findById(int id);    //  @PreAuthorize("hasRole('ADMIN')") 必须拥有 ROLE_ADMIN 角色。    @PreAuthorize("hasRole('ROLE_ADMIN ')")    void updateUser(User user);        @PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")    void deleteUser(int id);        // @PreAuthorize("principal.username.startsWith('Felordcn')") 用户名开头为 Felordcn 的用户才能访问。    // @PreAuthorize("#id.equals(principal.username)") 入参 id 必须同当前的用户名相同。    // @PreAuthorize("#id < 10") 限制只能查询 id 小于 10 的用户}

常见内置表达式

@EnableGlobalMethodSecurity注解怎么使用

@PostAuthorize:

@PreFilter:

// 指定过滤的参数,过滤偶数@PreFilter(filterTarget="ids", value="filterObject%2==0")public void delete(List<Integer> ids, List<String> username)

@PostFilter:

Secured

@Secured注解是用来定义业务方法的安全配置。

在需要安全[角色/权限等]的方法上指定 @Secured,并且只有那些角色/权限的用户才可以调用该方法。

@Secured缺点(限制)就是不支持Spring EL表达式。不够灵活。并且指定的角色必须以ROLE_开头,不可省略。

该注解功能要简单的多,默认情况下只能基于角色(默认需要带前缀 ROLE_)集合来进行访问控制决策。

该注解的机制是只要其声明的角色集合(value)中包含当前用户持有的任一角色就可以访问。

也就是 用户的角色集合和 @Secured 注解的角色集合要存在非空的交集。

不支持使用 SpEL 表达式进行决策。

      @Secured({"ROLE_user"})    void updateUser(User user);    @Secured({"ROLE_admin", "ROLE_user1"})    void updateUser();

jsr250E

启用 JSR-250 安全控制注解,这属于 JavaEE 的安全规范(现为 jakarta 项目)。一共有五个安全注解。

如果你在 @EnableGlobalMethodSecurity 设置 jsr250Enabled 为 true

就开启了 JavaEE 安全注解中的以下三个:

@DenyAll: 拒绝所有访问

@RolesAllowed({“USER”, “ADMIN”}): 该方法只要具有"USER", "ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_,实际的权限可能是ROLE_ADMIN

@PermitAll: 允许所有访问

读到这里,这篇“@EnableGlobalMethodSecurity注解怎么使用”文章已经介绍完毕,想要掌握这篇文章的知识点还需要大家自己动手实践使用过才能领会,如果想了解更多相关内容的文章,欢迎关注编程网行业资讯频道。

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯