ModelAndView mv = new ModelAndView();
List ps = productService.findAll();
mv.addObject(“productList”,ps);
mv.setViewName(“product-list”);
return mv;
}
4、运行测试
(1)查看james用户的权限:没有ADMIN角色的权限
(2)登出当前用户,并登录james用户
(3)设置不显示403,修改web.xml
403
/403.jsp
(4)创建403.jsp
<%@ page language=“java” contentType=“text/html; charset=UTF-8”
pageEncoding=“UTF-8”%>
权限不足
(5)再次运行测试
5、方法级权限控制-@Secured注解的使用
@Secured注解标注的方法进行权限控制的支持,其值默认为disabled。
示例:
@Secured(“IS_AUTHENTICATED_ANONYMOUSLY”)
public Account readAccount(Long id);
@Secured(“ROLE_TELLER”)
(1)修改spring-security.xml文件
(2)修改OrdersController当中findAll方法添加@Secured("ADMIN")
(3)从新运行并测试
a、先让james登录