Spring Security 注解
#1. 注解
Spring Security 默认是禁用注解的!( 讨厌... )
要想开启注解功能需要在配置类上加入 @EnableMethodSecurity 注解来判断用户对某个控制层的方法是否具有访问权限。
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
...
}
Spring Security 支持三套注解:
| # | 注解 |
|---|---|
| jsr250 注解 | @DenyAll、@PermitAll、@RolesAllowed |
| secured 注解 | @Secured |
| prePost 注解 | @PreAuthorize、@PostAuthorize |
#2. JSR-250 注解
@RolesAllowed("USER") // 这里可以省略前缀 ROLE_,但是数据库中的角色信息必须以 ROLE_ 开头
@GetMapping("/user-can-do")
public String user() {
return "user can do";
}
@RolesAllowed({"USER", "ADMIN"})
@GetMapping("/admin-can-do")
public String admin() {
return "admin can do";
}
@DenyAll、@PermitAll、@RolesAllowed 三个注解的功能显而易见。
不过有一个容易误解的地方: .permitAll() 和 .anonymous() 的区别:
Spring Security 为了统一,给 “未登录” 的用户赋予了一个角色:匿名用户 。
配置类中的配置 .antMatchers("/anonCanDo").anonymous() 表示匿名用户可访问,自然也就是用户不需要登录认证即可访问该 URI 。
注意
一旦用户经过登陆后,其身份无论在是什么,他都不再是匿名用户了,即,它失去了匿名用户这个身份。此时,如果他再去访问匿名用户可登陆的 URI 反而是显示没有权限!
不过,这里不用太大惊小怪,因为 Shiro 也是这样。
.antMatchers("/", "/users").permitAll() 就没有这个问题。它是指无论是否登陆,登陆后无论是什么身份都能访问。所以,你心里想要表达的『匿名用户也可以访问』大概率是指 .permitAll(),而非 .anonymous() 。
#3. Secured 注解
@Secured 注解是 jsr250 标准出现之前,Spring Security 框架自己定义的注解。
@Secured 标注于方法上,表示只有具有它所指定的角色的用户才可以调用该方法。如果当前用户不具备所要求的角色,那么,将会抛出 AccessDenied 异常。
// @Secured("IS_AUTHENTICATED_ANONYMOUSLY")
// @Secured("ADMIN")
@Secured({"USER", "ADMIN"}) // 这里可以省略前缀 ROLE_
@RequestMapping("/admin")
public String admin() {
return "admin";
}
#4. PrePost 注解
PrePost 注解也是 jsr250 标准出现之前,Spring Security 框架自己定义的注解。
PrePost 注解的功能比 Secured 注解的功能更强大,它可以通过使用 Spring EL 来表达具有逻辑判断的校验规则。
-
@PreAuthorize 注解:适合进入方法前的权限验证;
-
@PostAuthorize 注解:使用并不多,在方法执行后再进行权限验证。
@PreAuthorize("hasRole('ADMIN')") // 等同于前面章节的配置中的 hasRole("...")
@RequestMapping("/admin")
public String admin() {
return "admin";
}
这样只要拥有 ADMIN 角色的用户才可以访问此方法。
