快捷導(dǎo)航

@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解

更新時間：2023年10月13日 08:31:10 作者：青島老甜沫

這篇文章主要介紹了@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解,通過在方法上添加@PreAuthorize注解,可以指定需要滿足的權(quán)限條件,只有滿足條件的用戶才能執(zhí)行該方法,需要的朋友可以參考下

@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法

Spring Security中定義了四個支持使用表達(dá)式的注解，分別是

@PreAuthorize，@PostAuthorize，@PreFilter，@PostFilter：　

其中前兩者可以用來在方法調(diào)用前或者調(diào)用后進(jìn)行權(quán)限檢查，后兩者可以用來對集合類型的參數(shù)或者返回值進(jìn)行過濾。　

要使它們的定義能夠?qū)ξ覀兊姆椒ǖ恼{(diào)用產(chǎn)生影響我們需要設(shè)置global-method-security元素的pre-post-annotations=”enabled”，默認(rèn)為disabled。

用法

在資源服務(wù)器中的config類中使用注解：

@Configuration //聲明為配置類的bean
@EnableResourceServer //開啟資源服務(wù)
@EnableOAuth2Client //開啟OAuth2Client客戶端
@EnableConfigurationProperties //開啟讀取配置文件的功能
//開啟全局方法調(diào)用權(quán)限驗證
// 當(dāng)@EnableGlobalMethodSecurity(prePostEnabled=true)的時候，@PreAuthorize @PostAuthorize才可以使用
@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize用法

@PreAuthorize可以用來控制一個方法是否能夠被調(diào)用。例：

@Service
public class UserServiceImpl implements UserService {
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {
      System.out.println("find user by id............." + id);
      return null;
   }
}

在上面的代碼中我們定義了只有擁有角色ROLE_ADMIN的用戶才能訪問adduser()方法，而訪問find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。

那注解的值可以參考類：

org.springframework.security.access.expression.SecurityExpressionOperations.class

另外，還可以使用表示式

public class UserServiceImpl implements UserService {
   /**
    * 限制只能查詢Id小于10的用戶
   */
   @PreAuthorize("#id<10")
   public User find(int id) {
      System.out.println("find user by id........." + id);
      return null;
   }
   /**
    * 限制只能查詢自己的信息
    */
   @PreAuthorize("principal.username.equals(#username)")
   public User find(String username) {
      System.out.println("find user by username......" + username);
      return null;
   }
   /**
    * 限制只能新增用戶名稱為abc的用戶
    */
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {
      System.out.println("addUser............" + user);
   }
}

在上面代碼中我們定義了調(diào)用find(int id)方法時，只允許參數(shù)id小于10的調(diào)用；調(diào)用find(String username)時只允許username為當(dāng)前用戶的用戶名；定義了調(diào)用add()方法時只有當(dāng)參數(shù)user的name為abc時才可以調(diào)用。

@PostAuthorize用法

有時候可能你會想在方法調(diào)用完之后進(jìn)行權(quán)限檢查，這種情況比較少，但是如果你有的話，Spring Security也為我們提供了支持，通過@PostAuthorize可以達(dá)到這一效果。使用@PostAuthorize時我們可以使用內(nèi)置的表達(dá)式returnObject表示方法的返回值。

下面這一段示例代碼：

@PostAuthorize("returnObject.id%2==0")
   public User find(int id) {
      User user = new User();
      user.setId(id);
      return user;
   }

@PreFilter和@PostFilter的用法

使用@PreFilter和@PostFilter可以對集合類型的參數(shù)或返回值進(jìn)行過濾。使用@PreFilter和@PostFilter時，Spring Security將移除使對應(yīng)表達(dá)式的結(jié)果為false的元素。

 @PostFilter("filterObject.id%2==0"）
  public List<User> findAll() {
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }

上述代碼表示將對返回結(jié)果中id不為偶數(shù)的user進(jìn)行移除。filterObject是使用@PreFilter和@PostFilter時的一個內(nèi)置表達(dá)式，表示集合中的當(dāng)前對象。當(dāng)@PreFilter標(biāo)注的方法擁有多個集合類型的參數(shù)時，需要通過@PreFilter的filterTarget屬性指定當(dāng)前@PreFilter是針對哪個參數(shù)進(jìn)行過濾的。如下面代碼就通過filterTarget指定了當(dāng)前@PreFilter是用來過濾參數(shù)ids的

   @PreFilter(filterTarget="ids", value="filterObject%2==0")
   public void delete(List<Integer> ids, List<String> usernames) {
      ...
   }

到此這篇關(guān)于@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法詳解的文章就介紹到這了,更多相關(guān)@PreAuthorize、@PostAuthorize注解詳解內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: