Spring Security 对Service层方法调用的权限控制

栏目: 后端 · 发布时间: 6年前

内容简介:Spring Security 对Service层方法调用的权限控制

本文以spring security自带的tutorial-xml demo讲解,本文由博主javacoder.cn原创,转载请注明出处!!

配置

为了实现spring security对service层方法调用的权限控制,需要在spring context添加如下配置

<global-method-security pre-post-annotations="enabled" />

启用对方法上的@PreAuthorize,@PostAuthorize等注解的支持

然后在需要控制的方法上添加PreAuthorize注解

public interface BankService {
@PreAuthorize("hasRole('supervisor') or "
+ "hasRole('teller') and (#account.balance + #amount >= -#account.overdraft)")
public Account post(Account account, double amount);
}

本注解表示要么当前用户拥有supervisor权限,要么拥有teller权限且被操作账户的扣款额在透支额度范围内。PreAuthorize的权限控制表达式为spring的EL表达式。

权限控制的callstack如下:

Spring Security 对Service层方法调用的权限控制

和基于URL权限控制的流程类似,MethodSecurityInterceptor作为认证的入口,然后调用AccessDecisionManager(实现类为AffirmativeBased)进行是否有权限访问进行抉择,在AffirmativeBased中,依然使用基于投票器(PreInvocationAuthorizationAdviceVoter)的方式进行判定,真正的PreAuthorize注解对应的表达式计算逻辑由ExpressionBasedPreInvocationAdvice完成。

Posted in:Spring Security


以上所述就是小编给大家介绍的《Spring Security 对Service层方法调用的权限控制》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

数据结构、算法与应用

数据结构、算法与应用

(美)Sartaj Sahni / 汪诗林、孙晓东、等 / 机械工业出版社 / 2000-01 / 49.00

本书是关于计算机科学与工程领域的基础性研究科目之一――数据结构与算法的专著。 本书在简要回顾了基本的C++ 程序设计概念的基础上,全面系统地介绍了队列、堆栈、树、图等基本数据结构,以及贪婪算法、分而治之算法、分枝定界算法等多种算法设计方法,为数据结构与算法的继续学习和研究奠定了一个坚实的基础。更为可贵的是,本书不仅仅介绍了理论知识,还提供了50多个应用实例及600多道练习题。 本书......一起来看看 《数据结构、算法与应用》 这本书的介绍吧!

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

html转js在线工具
html转js在线工具

html转js在线工具