springSecurity标签,特别是@PreAuthorize

spring security中可以通过表达式控制方法权限:

  • @PreAuthorize
  • @PostAuthorize
  • @PreFilter
  • @PostFilter

其中前两者可以用来在方法调用前或者调用后进行权限检查,后两者可以用来对集合类型的参数或者返回值进行过滤。

使用@PreAuthorize和@PostAuthorize进行访问控制

@PreAuthorize可以用来控制一个方法是否能够被调用

Controller层

    /**
     * 根据用户编号获取详细信息
     */
    @PreAuthorize("@ss.hasPermi('system:user:query')")
    @GetMapping(value = { "/", "/{userId}" })
    public AjaxResult getInfo(@PathVariable(value = "userId", required = false) Long userId)
    {
		...
		...
		...
    }

对应service层

@Service("ss")
public class PermissionService
{	
	 /**
     * 验证用户是否具备某权限
     * 
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermi(String permission)
    {

    }
}

@PreAuthorize("@ss.hasPermi(‘system:user:query’)")表示:

  • @ss标签对应的PermissionService
  • hasPermi方法
  • 传入参数为system:user:query,表示用户的查询权限

@PostAuthorize目前并没有碰到

使用@PreFilter和@PostFilter进行过滤

使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。

使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。
目前碰到的不多。

©️2020 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页