Java SSM 项目实战 day08 方法级别的权限操作 服务器端的权限控制（JSR-250注解）（支持表达式的注解）（@Secured）以及页面端的权限控制

《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！

//查询全部产品

@RequestMapping(“/findAll.do”)

@RolesAllowed(“ADMIN”)

public ModelAndView findAll() throws Exception {

ModelAndView mv = new ModelAndView();

List ps = productService.findAll();

mv.addObject(“productList”,ps);

mv.setViewName(“product-list”);

return mv;

}

4、运行测试

（1）查看james用户的权限：没有ADMIN角色的权限

（2）登出当前用户，并登录james用户

（3）设置不显示403，修改web.xml

403

/403.jsp

（4）创建403.jsp

<%@ page language=“java” contentType=“text/html; charset=UTF-8”

pageEncoding=“UTF-8”%>

权限不足

（5）再次运行测试

5、方法级权限控制-@Secured注解的使用

@Secured注解标注的方法进行权限控制的支持，其值默认为disabled。

示例：

@Secured(“IS_AUTHENTICATED_ANONYMOUSLY”)

public Account readAccount(Long id);

@Secured(“ROLE_TELLER”)

（1）修改spring-security.xml文件

（2）修改OrdersController当中findAll方法添加@Secured("ADMIN")

（3）从新运行并测试

a、先让james登录

发现权限不足

a、后让tom登录：tom拥有ADMIN权限

依旧权限不足

（4）上面执行的流程不对（修改OrdersController当中的findAll方法） @Secured("ROLE_ADMIN")

为啥要这样因为

在这里配置权限拦截规则的时候是这样盘配置的

（5）注意

在使用JSR250的注解的时候，可以省略ROLE_前缀

而我们现在使用的@Secured注解是不能省略前缀的

（6）从新运行

a、tom登录

b、james登录

6、支持表达式的注解

@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问

示例：

@PreAuthorize(“#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)”)

void changePassword(@ P(“userId”) long userId ){

}

这里表示在changePassword方法执行之前，

判断方法参数userId的值是否等于principal中保存的当前用户的userId

或者当前用户是否具有ROLE_ADMIN权限，两种符合其一，就可以访问该方法。

@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常

示例：

@PostAuthorize

User getUser(“returnObject.userId == authentication.principal.userId orhasPermission(returnObject, ‘ADMIN’)”);

@PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果

@PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

（1）第一步：开启使用：修改spring-security.xml文件

<security:global-method-security pre-post-annotations=“enabled” jsr250-annotations=“enabled” secured-annotations=“enabled” >

</security:global-method-security>

（2）第二步：修改UserController当中的save方法和findAll方法

指定只有tom用户可以执行save操作

只有ADMIN用户可以执行findAll方法

//用户添加

@RequestMapping(“/save.do”)

@PreAuthorize("authentication.principal.username == ‘tom’ ")

public String save(UserInfo userInfo) throws Exception {

userService.save(userInfo);

return “redirect:findAll.do”;

}

@RequestMapping(“/findAll.do”)

@PreAuthorize(“hasRole(‘ROLE_ADMIN’)”)

public ModelAndView findAll() throws Exception {

ModelAndView mv = new ModelAndView();

List userList = userService.findAll();

mv.addObject(“userList”, userList);

mv.setViewName(“user-list”);

return mv;

}

（3）运行测试

fox1用户登录。fox1拥有ADMIN角色

点击新建用户

点击保存，发现权限不足，因为在上面设置了只有tom用户才可以添加用户

切换到tom用户

保存成功

二、页面端的权限控制

---

1、导入配置

（1）在maven当中的pom.xml文件当中导入

org.springframework.security

spring-security-taglibs

${spring.security.version}

（2）JSP页面导入

a、header.jsp页面当中

<%@taglib uri=“http://www.springframework.org/security/tags” prefix=“security”%>

<security:authentication property=“principal.username”></security:authentication>

b、aside.jsp页面当中

<%@taglib uri=“http://www.springframework.org/security/tags” prefix=“security”%>

<security:authentication property=“principal.username”></security:authentication>

c、重新运行项目

2、设置当前用户如果没有ADMIN就不能看到用户管理的选项

（1）修改aside.jsp

<security:authorize access=“hasRole(‘ADMIN’)” >

• 用户管理

  </security:authorize>

  （2）修改spring-security.xml

  最后

  最后，强调几点：

  • 1. 一定要谨慎对待写在简历上的东西，一定要对简历上的东西非常熟悉。因为一般情况下，面试官都是会根据你的简历来问的； 能有一个上得了台面的项目也非常重要，这很可能是面试官会大量发问的地方，所以在面试之前好好回顾一下自己所做的项目；
  • 2. 和面试官聊基础知识比如设计模式的使用、多线程的使用等等，可以结合具体的项目场景或者是自己在平时是如何使用的；
  • 3. 注意自己开源的Github项目，面试官可能会挖你的Github项目提问；

  我个人觉得面试也像是一场全新的征程，失败和胜利都是平常之事。所以，劝各位不要因为面试失败而灰心、丧失斗志。也不要因为面试通过而沾沾自喜，等待你的将是更美好的未来，继续加油！

  以上面试专题的答小编案整理成面试文档了，文档里有答案详解，以及其他一些大厂面试题目。

  面试答案

  

  

  

  《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！

  最后

  最后，强调几点：

  • 1. 一定要谨慎对待写在简历上的东西，一定要对简历上的东西非常熟悉。因为一般情况下，面试官都是会根据你的简历来问的； 能有一个上得了台面的项目也非常重要，这很可能是面试官会大量发问的地方，所以在面试之前好好回顾一下自己所做的项目；
  • 2. 和面试官聊基础知识比如设计模式的使用、多线程的使用等等，可以结合具体的项目场景或者是自己在平时是如何使用的；
  • 3. 注意自己开源的Github项目，面试官可能会挖你的Github项目提问；

  我个人觉得面试也像是一场全新的征程，失败和胜利都是平常之事。所以，劝各位不要因为面试失败而灰心、丧失斗志。也不要因为面试通过而沾沾自喜，等待你的将是更美好的未来，继续加油！

  以上面试专题的答小编案整理成面试文档了，文档里有答案详解，以及其他一些大厂面试题目。

  面试答案

  [外链图片转存中…(img-dm68czik-1714668450108)]

  [外链图片转存中…(img-HlTgtbkb-1714668450109)]

  [外链图片转存中…(img-RVfEvwh8-1714668450109)]

  《一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码》，点击传送门，即可获取！