一、Spring Security 可以通過(guò)表達(dá)式控制方法權(quán)限

Spring Security 定義了四個(gè)支持使用表達(dá)式的注解，分別是@PreAuthorize、@PostAuthorize、@PreFilter和@PostFilter。 其中前兩者可以用來(lái)在方法調(diào)用前或者調(diào)用后進(jìn)行權(quán)限檢查，后兩者可以用來(lái)對(duì)集合類型的參數(shù)或者返回值進(jìn)行過(guò)濾。 要使它們的定義能夠?qū)Ψ椒ǖ恼{(diào)用產(chǎn)生影響，需要設(shè)置global-method-security元素的pre-post-annotations=”enabled”，默認(rèn)為disabled： <security:global-method-security pre-post-annotations="disabled"/>

二、使用@PreAuthorize和@PostAuthorize進(jìn)行訪問(wèn)控制

@PreAuthorize可以用來(lái)控制一個(gè)方法是否能夠被調(diào)用。 @PostAuthorize是在方法調(diào)用完成后進(jìn)行權(quán)限檢查，它不能控制方法是否能被調(diào)用，只能在方法調(diào)用完成后檢查權(quán)限決定是否要拋出AccessDeniedException。

@Service
public class UserServiceImpl implements UserService {
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {
      System.out.println("find user by id............." + id);
      return null;
   }
}

代碼中定義了只有擁有角色 ROLE_ADMIN 的用戶才能訪問(wèn) adduser()，而訪問(wèn) find() 限定為有 ROLE_USER 角色或 ROLE_ADMIN 角色即可。使用表達(dá)式時(shí)還可以在表達(dá)式中使用方法參數(shù)：

public class UserServiceImpl implements UserService {
   //限制只能查詢Id小于10的用戶
   @PreAuthorize("#id<10")
   public User find(int id) {
      System.out.println("find user by id........." + id);
      return null;
   }
   // 限制只能查詢自己的信息
   @PreAuthorize("wg.username.equals(#username)")
   public User find(String username) {
      System.out.println("find user by username......" + username);
      return null;
   }
   //限制只能新增用戶名稱為abc的用戶
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {
      System.out.println("addUser............" + user);
   }
}

代碼中定義了調(diào)用 find(int id) 時(shí)，只允許參數(shù) id 小于 10 的調(diào)用；調(diào)用 find(String username) 時(shí)只允許 username 為當(dāng)前用戶的用戶名；定義了調(diào)用 add() 時(shí)只有當(dāng)參數(shù) user 的 name 為 abc 時(shí)才可以調(diào)用。

有時(shí)候在方法調(diào)用完之后進(jìn)行權(quán)限檢查，這種情況比較少，但是 Spring Security 支持通過(guò) @PostAuthorize 可以達(dá)到這一效果。使用 @PostAuthorize 時(shí)可以使用內(nèi)置的表達(dá)式 returnObject 表示方法的返回值。

下面這一段示例代碼：

@PostAuthorize("returnObject.id%2==0")
public User find(int id) {
   User user = new User();
      user.setId(id);
      return user;
}

代碼表示在 find() 調(diào)用完成后進(jìn)行權(quán)限檢查，如果返回值的 id 是偶數(shù)則表示校驗(yàn)通過(guò)，否則表示校驗(yàn)失敗，將拋出 AccessDeniedException。

三、使用 @PreFilter 和 @PostFilter 進(jìn)行過(guò)濾

使用 @PreFilter 和 @PostFilter 可以對(duì)集合類型的參數(shù)或返回值進(jìn)行過(guò)濾。使用 @PreFilter 和 @PostFilter 時(shí)，Spring Security 將移除使對(duì)應(yīng)表達(dá)式的結(jié)果為 false 的元素。

 @PostFilter("filterObject.id%2==0"）
  public List<User> findAll() {
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }

代碼表示對(duì)返回結(jié)果中 id 不為偶數(shù)的 user 進(jìn)行移除。filterObject 是使用 @PreFilter 和 @PostFilter 時(shí)的一個(gè)內(nèi)置表達(dá)式，表示集合中的當(dāng)前對(duì)象。當(dāng) @PreFilter 標(biāo)注的方法擁有多個(gè)集合類型的參數(shù)時(shí)，需要通過(guò) @PreFilter 的 filterTarget 屬性指定當(dāng)前 @PreFilter 是針對(duì)哪個(gè)參數(shù)進(jìn)行過(guò)濾的。

如下面代碼就通過(guò) filterTarget 指定了當(dāng)前 @PreFilter 是用來(lái)過(guò)濾參數(shù) ids 的。

@PreFilter(filterTarget="ids", value="filterObject%2==0")
public void delete(List<Integer> ids, List<String> usernames) {
      ...
}

到此這篇關(guān)于Security中的@PostAuthorize、@PreFilter和@PostFilter詳解的文章就介紹到這了,更多相關(guān)Security中@PreAuthorize內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論