内容简介:Spring Security 对Service层方法调用的权限控制
本文以spring security自带的tutorial-xml demo讲解,本文由博主javacoder.cn原创,转载请注明出处!!
配置
为了实现spring security对service层方法调用的权限控制,需要在spring context添加如下配置
<global-method-security pre-post-annotations="enabled" />
启用对方法上的@PreAuthorize,@PostAuthorize等注解的支持
然后在需要控制的方法上添加PreAuthorize注解
public interface BankService {
@PreAuthorize("hasRole('supervisor') or "
+ "hasRole('teller') and (#account.balance + #amount >= -#account.overdraft)")
public Account post(Account account, double amount);
}
本注解表示要么当前用户拥有supervisor权限,要么拥有teller权限且被操作账户的扣款额在透支额度范围内。PreAuthorize的权限控制表达式为spring的EL表达式。
权限控制的callstack如下:
和基于URL权限控制的流程类似,MethodSecurityInterceptor作为认证的入口,然后调用AccessDecisionManager(实现类为AffirmativeBased)进行是否有权限访问进行抉择,在AffirmativeBased中,依然使用基于投票器(PreInvocationAuthorizationAdviceVoter)的方式进行判定,真正的PreAuthorize注解对应的表达式计算逻辑由ExpressionBasedPreInvocationAdvice完成。
Posted in:Spring Security
以上所述就是小编给大家介绍的《Spring Security 对Service层方法调用的权限控制》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
- 漏洞分析连载第十四期 | 拘于小节的调用权限,函数调用权限漏洞
- Spring Security 对Service层方法调用的权限控制
- Django框架–权限代码+左侧菜单和权限应用
- 同等权限下多任职之间数据权限的实例
- 在 Windows 系统上降低 UAC 权限运行程序(从管理员权限降权到普通用户权限)
- 在 Windows 系统上降低 UAC 权限运行程序(从管理员权限降权到普通用户权限)
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
史蒂夫·乔布斯传
[美] 沃尔特·艾萨克森 / 管延圻、魏群、余倩、赵萌萌、汤崧 / 中信出版社 / 2011-10-24 / 68.00元
这本乔布斯唯一授权的官方传记,在2011年上半年由美国出版商西蒙舒斯特对外发布出版消息以来,备受全球媒体和业界瞩目,这本书的全球出版日期最终确定为2011年11月21日,简体中文版也将同步上市。 两年多的时间,与乔布斯40多次的面对面倾谈,以及与乔布斯一百多个家庭成员、 朋友、竞争对手、同事的不受限的采访,造就了这本独家传记。 尽管乔布斯给予本书的采访和创作全面的配合,但他对内容从不干......一起来看看 《史蒂夫·乔布斯传》 这本书的介绍吧!
