Spring Security应用开发(20)基于方法的授权使用@RolesAllowed注解
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Spring Security应用开发(20)基于方法的授权使用@RolesAllowed注解相关的知识,希望对你有一定的参考价值。
Spring Security还提供了一种基于注解的方式来实现基于方法的授权。这就是本文介绍的@RolesAllowed注解。@RolesAllowed是JSR250定义的注解。
(1)在spring-security.xml文件中启用JSR250注解支持。
<!-- 启用JSR250支持:@RolesAllowed注解 --> <sec:global-method-security jsr250-annotations="enabled" />
(2)在需要授权控制的方法中加上@RolesAllowed注解。
@RolesAllowed注解可以支持字符串数组的参数值,表示当前用户拥有多个角色中的一个即可满足授权访问的条件。
public class UserService { @RolesAllowed({"ROLE_USER","ROLE_ADMIN"}) public UserBean getUserByName(String name){ UserBean user = new UserBean(name,1001); System.out.println("getUserByName"); return user; } @RolesAllowed("ROLE_ADMIN") public void addUser(){ System.out.println("addUser"); } @RolesAllowed("ROLE_ADMIN") public void removeUser(){ System.out.println("removeUser"); } @RolesAllowed("ROLE_ADMIN") public void updateUser(){ System.out.println("updateUser"); } }
(3)调用有关的方法。
@Controller @RequestMapping("/home") public class HomeController { private UserService userService; public UserService getUserService() { return userService; } @Resource public void setUserService(UserService userService) { this.userService = userService; } @RequestMapping("/") public ModelAndView index(){ ModelAndView mv = new ModelAndView(); mv.addObject("message", "Hello,welcome!"); mv.setViewName("home/index"); UserBean user = this.userService.getUserByName("zhangsan"); this.userService.addUser(); this.userService.removeUser(); this.userService.updateUser(); return mv; } }
(4)测试运行。
当使用具有ROLE_ADMIN角色的zhangsan用户访问这些方法时,将允许访问全部方法,从而页面可以正常访问。
输出结果:
getUserByName
addUser
removeUser
updateUser
而当使用具有ROLE_USER角色的wangwu用户访问这些方法时,将仅允许访问getUserByName()的查询方法,而会拒绝访问其它增删改方法,从而出现拒绝访问的403页面。
输入结果:
getUserByName
以上是关于Spring Security应用开发(20)基于方法的授权使用@RolesAllowed注解的主要内容,如果未能解决你的问题,请参考以下文章
基于某些标头值跳过 Spring Flux Security
如何同时为 Spring Security 正确定义 web.xml 和基于 java 的配置
Spring Security:能满足这些要求吗?无国籍?无会话?要么?
Spring Security应用开发(19)基于方法的授权AOP