作用

當(dāng)我們想要開啟spring方法級安全時，只需要在任何 @Configuration實例上使用 @EnableGlobalMethodSecurity 注解就能達到此目的。

同時這個注解為我們提供了prePostEnabled 、securedEnabled 和 jsr250Enabled 三種不同的機制來實現(xiàn)同一種功能：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(jsr250Enabled = true, prePostEnabled = true, securedEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
}

prePostEnabled 

prePostEnabled = true 會解鎖 @PreAuthorize 和 @PostAuthorize 兩個注解。

從名字就可以看出@PreAuthorize 注解會在方法執(zhí)行前進行驗證，而 @PostAuthorize 注解會在方法執(zhí)行后進行驗證。

public interface UserService {
    List<User> findAllUsers();

    @PostAuthorize ("returnObject.type == authentication.name")
    User findById(int id);
    
	//  @PreAuthorize("hasRole('ADMIN')") 必須擁有 ROLE_ADMIN 角色。
    @PreAuthorize("hasRole('ROLE_ADMIN ')")
    void updateUser(User user);
    
    @PreAuthorize("hasRole('ADMIN') AND hasRole('DBA')")
    void deleteUser(int id);
    
    // @PreAuthorize("principal.username.startsWith('Felordcn')") 用戶名開頭為 Felordcn 的用戶才能訪問。
    // @PreAuthorize("#id.equals(principal.username)") 入?yún)?id 必須同當(dāng)前的用戶名相同。
    // @PreAuthorize("#id < 10") 限制只能查詢 id 小于 10 的用戶

}

常見內(nèi)置表達式

@PostAuthorize：

• 該注解使用不多，在方法執(zhí)行后再進行權(quán)限驗證。
• 適合驗證帶有返回值的權(quán)限。Spring EL 提供 返回對象能夠在表達式語言中獲取返回的對象returnObject。
• 區(qū)別在于先執(zhí)行方法。而后進行表達式判斷。如果方法沒有返回值實際上等于開放權(quán)限控制；如果有返回值實際的結(jié)果是用戶操作成功但是得不到響應(yīng)。
• 允許方法調(diào)用，但是如果表達式計算結(jié)果為false,將拋出一個安全性異常。

@PreFilter：

• 集合類型的參數(shù)執(zhí)行過濾，移除結(jié)果為false的元素。
• 基于方法入?yún)⑾嚓P(guān)的表達式，對入?yún)⑦M行過濾。分頁慎用！該過程發(fā)生在接口接收參數(shù)之前。
• 入?yún)⒈仨殲?java.util.Collection 且支持 remove(Object) 的參數(shù)。
• 如果有多個集合需要通過 filterTarget=<參數(shù)名> 來指定過濾的集合。
• 內(nèi)置保留名稱 filterObject 作為集合元素的操作名來進行評估過濾。

// 指定過濾的參數(shù)，過濾偶數(shù)
@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> username)

@PostFilter：

• 和@PreFilter 不同的是， 基于返回值相關(guān)的表達式，對返回值進行過濾。
• 分頁慎用！該過程發(fā)生接口進行數(shù)據(jù)返回之前。

Secured

@Secured注解是用來定義業(yè)務(wù)方法的安全配置。

在需要安全[角色/權(quán)限等]的方法上指定 @Secured，并且只有那些角色/權(quán)限的用戶才可以調(diào)用該方法。

@Secured缺點（限制）就是不支持Spring EL表達式。不夠靈活。并且指定的角色必須以ROLE_開頭，不可省略。

該注解功能要簡單的多，默認(rèn)情況下只能基于角色（默認(rèn)需要帶前綴 ROLE_）集合來進行訪問控制決策。

該注解的機制是只要其聲明的角色集合（value）中包含當(dāng)前用戶持有的任一角色就可以訪問。

也就是 用戶的角色集合和 @Secured 注解的角色集合要存在非空的交集。

不支持使用 SpEL 表達式進行決策。

  
    @Secured({"ROLE_user"})
    void updateUser(User user);

    @Secured({"ROLE_admin", "ROLE_user1"})
    void updateUser();

jsr250E

啟用 JSR-250 安全控制注解，這屬于 JavaEE 的安全規(guī)范（現(xiàn)為 jakarta 項目）。一共有五個安全注解。

如果你在 @EnableGlobalMethodSecurity 設(shè)置 jsr250Enabled 為 true

就開啟了 JavaEE 安全注解中的以下三個：

1.@DenyAll： 拒絕所有訪問

2.@RolesAllowed({“USER”, “ADMIN”})： 該方法只要具有"USER", "ADMIN"任意一種權(quán)限就可以訪問。這里可以省略前綴ROLE_，實際的權(quán)限可能是ROLE_ADMIN

3.@PermitAll： 允許所有訪問

總結(jié)

以上為個人經(jīng)驗，希望能給大家一個參考，也希望大家多多支持腳本之家。

最新評論