在Spring Security中,可以使用注解来实现用户授权
,通过在方法或类上添加注解来限制用户对资源的访问。以下是一些常用的注解及其用法:
@PreAuthorize
:在方法执行前进行权限验证。@PostAuthorize
:在方法执行后进行权限验证。@Secured
:用于标注类
或方法
需要特定角色才能访问。@RolesAllowed
:用于标注类或方法需要特定角色才能访问,支持多个角色。@PreFilter
:在方法执行前对集合参数进行过滤。@PostFilter
:在方法执行后对集合结果进行过滤。
代码如下:
@Controller
public class MyController {
@PreAuthorize("hasRole('ADMIN')")
@GetMapping("/admin")
public String adminPage() {
return "adminPage";
}
@Secured("ROLE_USER")
@GetMapping("/user")
public String userPage() {
return "userPage";
}
@PostAuthorize("hasRole('ADMIN')")
@GetMapping("/postAdmin")
public String postAdminPage() {
return "postAdminPage";
}
@PreFilter("hasRole('ADMIN')")
@GetMapping("/preFilter")
public List<String> preFilterExample(@RequestParam List<String> items) {
return items;
}
}
在上面的代码中,使用了不同的注解来限制不同方法的访问权限:
- @PreAuthorize(“hasRole(‘ADMIN’)”) :要求用户具有
"ADMIN"
角色才能访问 adminPage() 方法。 - @Secured(“ROLE_USER”) :要求用户具有
"USER"
角色才能访问 userPage() 方法。 - @PostAuthorize(“hasRole(‘ADMIN’)”) :要求用户具有
"ADMIN"
角色才能访问 postAdminPage() 方法。 - @PreFilter(“hasRole(‘ADMIN’)”) :要求用户具有
"ADMIN"
角色才能访问 preFilterExample() 方法,并对输入参数进行过滤。