SpringSecurity权限控制配置方案与注解使用
-
- 一.不支持表达式注解
-
- 1.JSR250注解配置
- [email protected]注解
- 二.支持表达式注解
一.不支持表达式注解
1.JSR250注解配置
1.spring-security.xml文件配置
2.pom.xml:
[email protected]配置
表示只有
ROLE_ADMIN
的角色才可以访问该方法。
[email protected]注解
1.spring-security.xml文件配置
2.pom.xml:
[email protected]注解配置
对于JSR250注解,如果用户在的权限为ROLE_ADMIN,而数据库里面是存的ADMIN,那么ROLE是可以省略的直接写
@RolesAllowed("ADMIN")
当然写完整也是可以的,而对于@Secured则不可以省略,否则报权限不足。
二.支持表达式注解
1.spring-security.xml文件配置
2.pom.xml:
[email protected](SPEL表达式)
表示用户为jack或者用于权限ROLE_ADMIN才可以访问。同时注解中使用SPEL表达式不需要在
spring-security.xml
里面的use-expressions=true,当然写为true也无妨。
| 表达式 | 描述 |
|---|---|
| hasRole([role]) | 当前用户是否拥有指定角色。 |
| hasAnyRole([role1,role2]) | 多个角色是一个以逗号进行分隔的字符串。如果当前用户拥有指定角色中的任意一个则返回true。 |
| hasAuthority([auth]) | 等同于hasRole |
| hasAnyAuthority([auth1,auth2]) | 等同于hasAnyRole |
| Principle | 代表当前用户的principle对象 |
| authentication | 直接从SecurityContext获取的当前Authentication对象 |
| permitAll | 总是返回true,表示允许所有的 |
| denyAll | 总是返回false,表示拒绝所有的 |
| isAnonymous() | 当前用户是否是一个匿名用户 |
| isRememberMe() | 表示当前用户是否是通过Remember-Me自动登录的 |
| isAuthenticated() | 表示当前用户是否已经登录认证成功了 |
| isFullyAuthenticated() | 如果当前用户既不是一个匿名用户,同时又不是通过Remember-Me自动登录的,则返回true。 |
。