Spring Security 对Service层方法调用的权限控制

栏目: 后端 · 发布时间: 9年前

内容简介:Spring Security 对Service层方法调用的权限控制

本文以spring security自带的tutorial-xml demo讲解,本文由博主javacoder.cn原创,转载请注明出处!!

配置

为了实现spring security对service层方法调用的权限控制,需要在spring context添加如下配置

<global-method-security pre-post-annotations="enabled" />

启用对方法上的@PreAuthorize,@PostAuthorize等注解的支持

然后在需要控制的方法上添加PreAuthorize注解

public interface BankService {
@PreAuthorize("hasRole('supervisor') or "
+ "hasRole('teller') and (#account.balance + #amount >= -#account.overdraft)")
public Account post(Account account, double amount);
}

本注解表示要么当前用户拥有supervisor权限,要么拥有teller权限且被操作账户的扣款额在透支额度范围内。PreAuthorize的权限控制表达式为spring的EL表达式。

权限控制的callstack如下:

Spring Security 对Service层方法调用的权限控制

和基于URL权限控制的流程类似,MethodSecurityInterceptor作为认证的入口,然后调用AccessDecisionManager(实现类为AffirmativeBased)进行是否有权限访问进行抉择,在AffirmativeBased中,依然使用基于投票器(PreInvocationAuthorizationAdviceVoter)的方式进行判定,真正的PreAuthorize注解对应的表达式计算逻辑由ExpressionBasedPreInvocationAdvice完成。

Posted in:Spring Security


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
算法学

算法学

哈雷尔 / 第1版 (2006年2月1日) / 2006年2月1日 / 38.0

本书的意图在于按序学习或研究,而不是作为一个参考。因而按照每章依赖于前面章节的结构组织本书,且流畅易读。第一部分预备知识中的大部分材料对于那些具有程序设计背景的人是熟悉的。无论是否恰当,本书包含了计算机科学家当前感兴趣的研究专题的简明讨论。这本教科书的书后有每章详细参考书目的注记,并通过“后向”指针把教科书中的讨论与相关文献联系起来。目前的版本包含大量习题,以及大约三分之一的题解。可用题解作为教科......一起来看看 《算法学》 这本书的介绍吧!

码农工具
XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2026 码农网 粤ICP备17054400号-3