- @PreAuthorize
- @PostAuthorize
- @PreFilter
- @PostFilter
@PreAuthorize
方法调用之前, @EnableGlobalMethodSecurity(prePostEnabled=true)
- 根据角色限制权限
@PostMapping
@PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
return success(this.userService.saveUserDTO(userDTO));
}- SpEL 表达式
@PostMapping
@PreAuthorize("#id<10")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
return success(this.userService.saveUserDTO(userDTO));
}@PostMapping
@PreAuthorize("principal.username.equals(#username)")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
return success(this.userService.saveUserDTO(userDTO));
}@PostMapping
@PreAuthorize("#user.name.equals('abc')")
public R<Boolean> insertUser(@RequestBody UserDTO userDTO){
return success(this.userService.saveUserDTO(userDTO));
}@PostAuthorize
方法调用之后,设置@EnableGlobalMethodSecurity(prePostEnabled=true)
@PreFilter和@PostFilter
使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时,Spring Security将移除使对应表达式的结果为false的元素。
@PostFilter(filterTarget="ids",value="filterObject.id%2==0")
public R<User> select(List<Long> ids,User user){
return success(this.userService.selectAll(ids));
}上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式,表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时,需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。 filterTarget指定了当前@PreFilter是用来过滤参数ids的 .
区别
综合其他方式
| 方法授权类型 | 声明方式 | JSR标准 | 允许SpEL表达式 |
| @PreAuthorize@PostAuthorize | 注解 | No | Yes |
| @RolesAllowed@PermitAll@DenyAll | 注解 | Yes | NO |
| @Secure | 注解 | No | No |
| protect-pointcut | XML | No | No |
