快捷導(dǎo)航

@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解

更新時(shí)間：2023年10月13日 08:31:10 作者：青島老甜沫

這篇文章主要介紹了@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解,通過(guò)在方法上添加@PreAuthorize注解,可以指定需要滿(mǎn)足的權(quán)限條件,只有滿(mǎn)足條件的用戶(hù)才能執(zhí)行該方法,需要的朋友可以參考下

@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法

Spring Security中定義了四個(gè)支持使用表達(dá)式的注解，分別是

@PreAuthorize，@PostAuthorize，@PreFilter，@PostFilter：　

其中前兩者可以用來(lái)在方法調(diào)用前或者調(diào)用后進(jìn)行權(quán)限檢查，后兩者可以用來(lái)對(duì)集合類(lèi)型的參數(shù)或者返回值進(jìn)行過(guò)濾。　

要使它們的定義能夠?qū)ξ覀兊姆椒ǖ恼{(diào)用產(chǎn)生影響我們需要設(shè)置global-method-security元素的pre-post-annotations=”enabled”，默認(rèn)為disabled。

用法

在資源服務(wù)器中的config類(lèi)中使用注解：

@Configuration //聲明為配置類(lèi)的bean
@EnableResourceServer //開(kāi)啟資源服務(wù)
@EnableOAuth2Client //開(kāi)啟OAuth2Client客戶(hù)端
@EnableConfigurationProperties //開(kāi)啟讀取配置文件的功能
//開(kāi)啟全局方法調(diào)用權(quán)限驗(yàn)證
// 當(dāng)@EnableGlobalMethodSecurity(prePostEnabled=true)的時(shí)候，@PreAuthorize @PostAuthorize才可以使用
@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize用法

@PreAuthorize可以用來(lái)控制一個(gè)方法是否能夠被調(diào)用。例：

@Service
public class UserServiceImpl implements UserService {
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {
      System.out.println("find user by id............." + id);
      return null;
   }
}

在上面的代碼中我們定義了只有擁有角色ROLE_ADMIN的用戶(hù)才能訪(fǎng)問(wèn)adduser()方法，而訪(fǎng)問(wèn)find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。

那注解的值可以參考類(lèi)：

org.springframework.security.access.expression.SecurityExpressionOperations.class

另外，還可以使用表示式

public class UserServiceImpl implements UserService {
   /**
    * 限制只能查詢(xún)Id小于10的用戶(hù)
   */
   @PreAuthorize("#id<10")
   public User find(int id) {
      System.out.println("find user by id........." + id);
      return null;
   }
   /**
    * 限制只能查詢(xún)自己的信息
    */
   @PreAuthorize("principal.username.equals(#username)")
   public User find(String username) {
      System.out.println("find user by username......" + username);
      return null;
   }
   /**
    * 限制只能新增用戶(hù)名稱(chēng)為abc的用戶(hù)
    */
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {
      System.out.println("addUser............" + user);
   }
}

在上面代碼中我們定義了調(diào)用find(int id)方法時(shí)，只允許參數(shù)id小于10的調(diào)用；調(diào)用find(String username)時(shí)只允許username為當(dāng)前用戶(hù)的用戶(hù)名；定義了調(diào)用add()方法時(shí)只有當(dāng)參數(shù)user的name為abc時(shí)才可以調(diào)用。

@PostAuthorize用法

有時(shí)候可能你會(huì)想在方法調(diào)用完之后進(jìn)行權(quán)限檢查，這種情況比較少，但是如果你有的話(huà)，Spring Security也為我們提供了支持，通過(guò)@PostAuthorize可以達(dá)到這一效果。使用@PostAuthorize時(shí)我們可以使用內(nèi)置的表達(dá)式returnObject表示方法的返回值。

下面這一段示例代碼：

@PostAuthorize("returnObject.id%2==0")
   public User find(int id) {
      User user = new User();
      user.setId(id);
      return user;
   }

@PreFilter和@PostFilter的用法

使用@PreFilter和@PostFilter可以對(duì)集合類(lèi)型的參數(shù)或返回值進(jìn)行過(guò)濾。使用@PreFilter和@PostFilter時(shí)，Spring Security將移除使對(duì)應(yīng)表達(dá)式的結(jié)果為false的元素。

 @PostFilter("filterObject.id%2==0"）
  public List<User> findAll() {
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }

上述代碼表示將對(duì)返回結(jié)果中id不為偶數(shù)的user進(jìn)行移除。filterObject是使用@PreFilter和@PostFilter時(shí)的一個(gè)內(nèi)置表達(dá)式，表示集合中的當(dāng)前對(duì)象。當(dāng)@PreFilter標(biāo)注的方法擁有多個(gè)集合類(lèi)型的參數(shù)時(shí)，需要通過(guò)@PreFilter的filterTarget屬性指定當(dāng)前@PreFilter是針對(duì)哪個(gè)參數(shù)進(jìn)行過(guò)濾的。如下面代碼就通過(guò)filterTarget指定了當(dāng)前@PreFilter是用來(lái)過(guò)濾參數(shù)ids的

   @PreFilter(filterTarget="ids", value="filterObject%2==0")
   public void delete(List<Integer> ids, List<String> usernames) {
      ...
   }

到此這篇關(guān)于@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解的文章就介紹到這了,更多相關(guān)@PreAuthorize、@PostAuthorize注解詳解內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: