spring security中权限注解

2023-03-01 17:24:55 浏览数 (2)

文章目录[隐藏]

  • @PreAuthorize
  • @PostAuthorize
  • @PreFilter和@PostFilter
  • 区别
  • @PreAuthorize
  • @PostAuthorize
  • @PreFilter
  • @PostFilter

@PreAuthorize

方法调用之前, @EnableGlobalMethodSecurity(prePostEnabled=true)

  • 根据角色限制权限
代码语言:javascript复制
@PostMapping
@PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
    return success(this.userService.saveUserDTO(userDTO));
}
  • SpEL 表达式
代码语言:javascript复制
@PostMapping
@PreAuthorize("#id<10")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
    return success(this.userService.saveUserDTO(userDTO));
}
代码语言:javascript复制
@PostMapping
@PreAuthorize("principal.username.equals(#username)")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
    return success(this.userService.saveUserDTO(userDTO));
}
代码语言:javascript复制
@PostMapping
@PreAuthorize("#user.name.equals('abc')")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
    return success(this.userService.saveUserDTO(userDTO));
}

@PostAuthorize

方法调用之后,设置@EnableGlobalMethodSecurity(prePostEnabled=true)

@PreFilter和@PostFilter

       使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。

代码语言:javascript复制
@PostFilter(filterTarget="ids",value="filterObject.id%2==0")
public R<User> select(List<Long> ids,User user){
    return success(this.userService.selectAll(ids));
}

上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。 filterTarget指定了当前@PreFilter是用来过滤参数ids的 .

区别

综合其他方式

方法授权类型

声明方式

JSR标准

允许SpEL表达式

@PreAuthorize@PostAuthorize

注解

No

Yes

@RolesAllowed@PermitAll@DenyAll

注解

Yes

NO

@Secure

注解

No

No

protect-pointcut

XML

No

No

0 人点赞