java - 如何检查方法级别的 spring 安全性-6ren

java - 如何检查方法级别的 spring 安全性

转载作者：搜寻专家更新时间：2023-11-01 02:31:15

25

4

我已经在 Controller 方法中实现了 spring security。

下面是我的spring security.xml

-->

<!-- URL pattern based security -->
<security:http auto-config="false" entry-point-ref="authenticationEntryPoint"
    use-expressions="true">
    <custom-filter ref="authenticationFilter" position="FORM_LOGIN_FILTER" />
    <security:intercept-url access="hasAnyRole('ROLE_ADMIN','ROLE_USER')" pattern="/common/admin/**" />
    <security:intercept-url pattern="/common/accounting/**" access="hasRole('ROLE_USER')" />
    <security:logout logout-url="/j_spring_security_logout" invalidate-session="true" logout-success-url="/login"/>

</security:http>

下面是我的 Controller

@Secured({"ROLE_ADMIN"})
@RequestMapping(value = "/common/admin/addAdmin", method = RequestMethod.GET)
public String add(ModelMap map) {
    map.addAttribute(new Administrator());
    return "/common/admin/addAdmin";
}

@Secured({"ROLE_ADMIN"})
@RequestMapping(value = "/common/admin/addAdmin", method = RequestMethod.POST)
public String processadd(
        @ModelAttribute("administrator") Administrator administrator) {
    this.administratorManager.addAdmin(administrator);
    return "/common/admin/success";
}

我允许 url/common/admin/** 用于管理员和用户角色。但是我在管理 Controller 中做了一些限制。当用户以用户角色进入/common/admin/* 时，他可以，但他也可以进入仅适用于管理员角色的方法。

我该如何解决？

谢谢!

最佳答案

您已经添加了 @Secured 注释。

但你需要启用它:

<!-- secured-annotations = (@Secured("ROLE_ADMIN")) -->
<!-- jsr250-annotations = (@RunAs @RolesAllowed @PermitAll @DenyAll @DeclareRoles) -->
<!-- pre-post-annotations = @PreAuthorized("hasAuthority('ROLE_ADMIN')") -->
<global-method-security
    secured-annotations="enabled" 
    jsr250-annotations="disabled"
    pre-post-annotations="disabled">        
</global-method-security>

@Secured 可以承担一个或多个角色。

@Secured("ROLE_USER")
@Secured({"ROLE_USER", "ROLE_ADMIN"})//如果用户具有此角色之一，则授予访问权限

BWT:来自 Spring Security 3 Book (http://www.springsecuritybook.com/):

The @Secured annotation is functionallz and syntactiallz the same as @RollesAllowed ... As @Secured functions the same as the JSR standard @RollesAllowed there's not reallz a compelling reason to use it (@Secured) in in new code...

(不要忘记启用它 jsr250-annotations="enabled")

关于java - 如何检查方法级别的 spring 安全性，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/8754729/

25

4

0

文章推荐： c# - 在 C# 中处理丢弃的 TCP 数据包

文章推荐： javascript - JavaScript 中的表单验证数值范围(最小/最大)

android - 最小 sdk 级别太低(如 8 sdk 级别)和目标 sdk 更高 sdk 级别(如 23 sdk 级别)有什么影响？
Android 项目中最低(最低 sdk)和最高(目标 sdk)级别是否有任何影响。这些东西是否会影响项目的可靠性和效率。最佳答案没有影响，如果您以 SDK 级别 8 为目标，那么您的应用将以 9
android - 此编译器不支持 API 级别 31。请使用 30 或更早的 API 级别
我将现有的 android 项目升级到 API 级别 31。我使用 Java 作为语言。我改变了 build.gradle compileSdkVersion 31 defaultConfig {
android - Ionic 应用程序以 API 级别 25 为目标，并且必须至少以 API 级别 26 为目标
我正在使用 ionic 3 创建一个 android 应用程序，当我尝试上传到 playstore 时，我收到一个错误，提示我的应用程序以 api 25 为目标，当我检查我的 project.prop
android - 当针对目标 API 级别 29 进行编译时，能否在 Android API 级别 < 24 上访问 NMEA？
我刚刚尝试将应用程序的目标和编译 API 级别更新为 29 (Android 10)，并注意到我无法再编译，因为 LocationManager.addNmeaListener 只接受 OnNmeaM
version-control - 我的工具栏未在 API 级别 19 (Kitkat) 上显示，而在 API 级别 21 上显示
我的代码没有在 Kitkat 上显示工具栏。这是我的两个 Android 版本的屏幕截图。 Kitkat 版本: Lollipop 版: 这背后的原因可能是什么。 list 文件
android - 在 API 级别 8 上使用 API 级别 18 的 Android AccessabilityService 功能
我正在构建面向 API 级别 8 的 AccessabilityService，但我想使用 API 级别 18 中引入的功能 (getViewIdResourceName())。这应该可以通过使用 A
Android 4.0 - API 级别 14 与谷歌 API(谷歌公司)- API 级别 14 : What is the difference?
当我想在我的电脑上创建一个 android 虚拟机时，有两个选项可以选择目标设备。它们都用于相同的 API 级别。那么我应该选择哪一个呢？它们之间有什么区别？最佳答案一个是基本的 Android，
performance - 在 Windows 上选择 Google API(API 级别 17 或任何其他 API 级别)时，Android 模拟器不加载
当我选择 tagret 作为 Android 4.2.2(API 级别 17)时，模拟器需要很长时间来加载和启动。所以我研究它并通过使用找到了解决方案Intel Atom(x86) 而不是 ARM
android - Debug 间接依赖于 Android API 级别 X，但变体 'debug' 的 minSdkVersion 是 API 级别 Y
我有一个使用 Android Studio 创建的 Android 项目。我在项目中添加了一些第三方依赖项，但是当我尝试在 Android Studio 中编译时，我遇到了以下错误: Error:Ex
android - 在 Android 中，NetworkInterface.getInterfaceAddresses() 需要 API 级别 9。如何使用 API 级别 8 执行此操作？
如上所述，如何使用 API 8 获取移动设备网络接口(interface)地址？最佳答案 NetworkInterface.getInetAddresses() 在 API8 中可用。关于andr
android - 为什么将 ImageSpan 添加到 Snackbar 的操作文本在 Android 设备 SDK 级别 26 上有效，但在 SDK 级别 25 上无效？
我想显示 Snackbar并使用图像而不是文本进行操作。我使用以下代码: val imageSpan = ImageSpan(this, R.drawable.star) val b
不同系统中的Python日志显示不同的格式/级别
我有一个用 python 编写的简单命令行程序。程序使用按以下方式配置的日志记录模块将日志记录到屏幕: logging.basicConfig(level=logging.INFO, format='
Pygame 级别/菜单状态
使用下面的代码，实现游戏状态以控制关卡的最简单和最简单的方法是什么？如果我想从标题画面开始，然后加载一个关卡，并在完成后进入下一个关卡？如果有人能解释处理这个问题的最简单方法，那就太好了! impor
c# - 查找嵌套集合的最大深度/级别
我想创建一个可以找到嵌套树结构深度的属性。下面的静态通过递归找出深度/级别。但是是否可以将此函数作为同一个类中的属性而不是静态方法？ public static int GetDepth(MenuGr
Javascript 树标签/级别
var myArray = [{ title: "Title 1", children: [{ title: "Title 1.1", children: [{
Pygame 级别/菜单状态
通过下面的代码，实现游戏状态来控制关卡的最简单、最容易的方法是什么？如果我想从标题屏幕开始，然后加载一个关卡，并在完成后进入下一个关卡？如果有人可以解释处理这个问题的最简单方法，那就太好了! impo
algorithm - 如何找到非二叉树中节点的深度/级别？
我有一个树结构，其中每个节点基本上可以有无限个子节点，它正在为博客的评论建模。根据特定评论的 ID，我试图找出该评论在树中的深度/级别。我正在关注 this guide that explains
arrays - 如何确定整数数组已经排序的程度/级别
考虑任何给定的唯一整数的数组，例如[1,3,2,4,6,5] 如何确定“排序度”的级别，范围从 0.0 到 1.0 ? 最佳答案一种方法是评估必须移动以使其排序的项目数量，然后将其除以项目总数。作
c++ - 我如何定义一个模板类来给出类型的指针深度/级别？
我如何定义一个模板类，它提供一个整数常量，表示作为输入模板参数提供的(指针)类型的“深度”？例如，如果类名为 Depth，则以下内容为真: Depth::value == 3 Depth::value
c# - 如何为不同的接收器以不同的方式覆盖 Serilog 级别？
我的场景是:文件接收器应该包含所有内容。另一个接收器应包含信息消息，但需要注意的是 Microsoft.* 消息很烦人，因此这些消息应仅限于警告。两个sink怎么单独配置？我尝试的第一件事是: str

首页

博学

6Ren·AI

商城

java - 如何检查方法级别的 spring 安全性