spring security 在controller层使用方法级别注解 @PreAuthorize(“admin”)设置权限拦截问题,无权则返回403页面
早在权限框架没有出来之前,进行权限的拦截一般使用路径拦截的方式,后者在配置文件中配置拦截信息
spring security支持注解拦截的方式,其底层原理是过滤器,
@PreAuthorize(“hasRole(‘xxx’)” )
@PostAuthorize(“returnObject.type == authentication.name”)
@Secured({ “ROLE_DBA”, “ROLE_ADMIN” })
在这里笔者使用的第一种方式进行用户鉴权,使用该方式更支持Spring EL表达式。
若配置多个权限
1.必须拥有全部权限才可访问
@PreAuthorize(“hasRole(‘1’) and hasRole(‘2’)” )
2.拥有一个或多个权限都可
@PreAuthorize(“hasRole(‘1’) or hasRole(‘2’)” )
以下便是坑,在方法中已经controller方法中已经使用了注解但是仍然报403
权限名字必须带前缀 ROLE_ 后面的随便写 比如 ROLE_admin , ROLE_user , ROLE_kk22 , ROLE_love 否则无法正确识别权限,
因为hasRole 就是定义角色的,转成权限会自动添加前缀ROLE_ ,因此,不怎么使用。
####注解可以不用,但是数据库一定要有前缀