前面简单的提到过这两个注解的区别,那只是从配置以及原理上做的说明,今天,将从使用即代码层面加以说明这两个的使用注意事项!

首先, 若是自己实现用户信息数据库存储的话,需要注意UserDetails的函数(下面代码来自于Spring boot 1.2.7 Release的依赖 Spring security 3.2.8):

     /**

      * Returns the authorities granted to the user. Cannot return <code>null</code>.

      *

      * @return the authorities, sorted by natural key (never <code>null</code>)

      */

     Collection<? extends GrantedAuthority> getAuthorities();

在我的MUEAS项目中,这个接口函数的实现是下面这个样子的:

 public class SecuredUser extends User implements UserDetails{

     private static final long serialVersionUID = -1501400226764036054L;

     private User user;

     public SecuredUser(User user){

         if(user != null){

             this.user = user;

             this.setUserId(user.getId());

             this.setUserId(user.getUserId());

             this.setUsername(user.getUsername());

             this.setPassword(user.getPassword());

             this.setRole(user.getRole().name());

             //this.setDate(user.getDate());

             this.setAccountNonExpired(user.isAccountNonExpired());

             this.setAccountNonLocked(user.isAccountNonLocked());

             this.setCredentialsNonExpired(user.isCredentialsNonExpired());

             this.setEnabled(user.isEnabled());

         }

     }

     public void setUser(User user){

         this.user = user;

     }

     public User getUser(){

         return this.user;

     }

     @Override

     public Collection<? extends GrantedAuthority> getAuthorities() {

         Collection<GrantedAuthority> authorities = new ArrayList<>();

         Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");

         Role role = user.getRole();

         if(role != null){

             SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());

             authorities.add(authority);

         }

         return authorities;

     }

 }

注意,我在创建SimpleGrantedAuthority authority = new SimpleGrantedAuthority(role.name());的时候没有添加“ROLE_”这个rolePrefix前缀,也就是说,我没有像下面这个样子操作:

         @Override

     public Collection<? extends GrantedAuthority> getAuthorities() {

         Collection<GrantedAuthority> authorities = new ArrayList<>();

         Preconditions.checkNotNull(user, "user在使用之前必须给予赋值");

         Role role = user.getRole();

         if(role != null){

             SimpleGrantedAuthority authority = new SimpleGrantedAuthority(“ROLE_”+role.name());

             authorities.add(authority);

         }

         return authorities;

     }

不要小看这一区别,这个将会影响后面权限控制的编码方式。

具体说来, 若采用@EnableGlobalMethodSecurity(securedEnabled = true)注解,对函数访问进行控制,那么,就会有一些问题(不加ROLE_),因为,这个时候,AccessDecissionManager会选择RoleVoter进行vote,但是RoleVoter默认的rolePrefix是“ROLE_”。

当函数上加有@Secured(),我的项目中是@Secured({"ROLE_ROOT"})

     @RequestMapping(value = "/setting/username", method = RequestMethod.POST)

     @Secured({"ROLE_ROOT"})

     @ResponseBody

     public Map<String, String> userName(User user, @RequestParam(value = "username") String username){

         Map<String, String> modelMap = new HashMap<String, String>();

         System.out.println(username);    

         user.setUsername(username);

         userService.update(user);

         modelMap.put("status", "ok");

         return modelMap;

     }

而RoleVoter选举时,会检测是否支持。如下函数(来自Spring Security 3.2.8 Release默认的RoleVoter类)

 public boolean supports(ConfigAttribute attribute) {

         if ((attribute.getAttribute() != null) && attribute.getAttribute().startsWith(getRolePrefix())) {

             return true;

         }

         else {

             return false;

         }

     }

上面的函数会返回true,因为传递进去的attribute是来自于@Secured({"ROLE_ROOT"})注解。不幸的时,当进入RoleVoter的vote函数时,就失败了:

 public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) {

         int result = ACCESS_ABSTAIN;

         Collection<? extends GrantedAuthority> authorities = extractAuthorities(authentication);

         for (ConfigAttribute attribute : attributes) {

             if (this.supports(attribute)) {

                 result = ACCESS_DENIED;

                 // Attempt to find a matching granted authority

                 for (GrantedAuthority authority : authorities) {

                     if (attribute.getAttribute().equals(authority.getAuthority())) {

                         return ACCESS_GRANTED;

                     }

                 }

             }

         }

         return result;

     }

原因在于,authority.getAuthority()返回的将是ROOT,而并不是ROLE_ROOT。然而,即使将@Secured({"ROLE_ROOT"})改为@Secured({"ROOT"})也没有用, 所以,即使当前用户是ROOT权限用户,也没有办法操作,会放回403 Access Denied Exception.

解决的办法:有两个。

第一个: 就是将前面提到的UserDetails的接口函数getAuthorities()的实现中,添加前缀,如上面提到的,红色"ROLE_"+role.name()

第二个: 就是不用@Secured()注解,采用@PreAuthorize():

 /**

  * Method Security Configuration.

  */

 @EnableGlobalMethodSecurity(prePostEnabled = true) //替换掉SecuredEnabled = true

 @Configuration

 public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

 }

上面的修改,将会实现AccessDecissionManager列表中AccessDecisionVoter,多出一个voter,即PreInvocationAuthorizationAdviceVoter.

并且修改函数上的注解:

     @RequestMapping(value = "/setting/username", method = RequestMethod.POST)

     @PreAuthorize("hasRole('ROOT')") //或则@PreAuthorize("hasAuthority('ROOT')")

     @ResponseBody

     public Map<String, String> userName(User user, @RequestParam(value = "username") String username){

         Map<String, String> modelMap = new HashMap<String, String>();

         System.out.println(username);    

         user.setUsername(username);

         userService.update(user);

         modelMap.put("status", "ok");

         return modelMap;

     }

这样的话,就可以正常实现函数级别的权限控制了。

是不是有点绕?反正这个问题折腾了我差不多一上午。。。。

@Secured(), @PreAuthorize()的更多相关文章

  1. 区别: @Secured(), @PreAuthorize() 及 @RolesAllowed()

    在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注解,就是@Secured(), @PreAuthorize() 及 @RolesAllowed(). 但是着三者之间的 ...

  2. Spring Security 4 Method security using @PreAuthorize,@PostAuthorize, @Secured, EL--转

    原文地址:http://websystique.com/spring-security/spring-security-4-method-security-using-preauthorize-pos ...

  3. Spring Security 4 使用@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全

    [相关已翻译的本系列其他文章,点击分类里面的spring security 4] 上一篇:Spring Security 4 整合Hibernate 实现持久化登录验证(带源码) 原文地址:http: ...

  4. 【Spring】关于Boot应用中集成Spring Security你必须了解的那些事

    Spring Security Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架.除了常规的Authentication和A ...

  5. 关于Boot应用中集成Spring Security你必须了解的那些事

    Spring Security Spring Security是Spring社区的一个顶级项目,也是Spring Boot官方推荐使用的Security框架.除了常规的Authentication和A ...

  6. Spring Boot中集成Spring Security 专题

    check to see if spring security is applied that the appropriate resources are permitted: @Configurat ...

  7. Security注解:@PreAuthorize,@PostAuthorize, @Secured, EL实现方法安全

     说明 (1)JDK版本:1.8(2)Spring Boot 2.0.6(3)Spring Security 5.0.9(4)Spring Data JPA 2.0.11.RELEASE(5)hibe ...

  8. @Secured()、 @PreAuthorize() 、 @RolesAllowed()

    在Spring security的使用中,为了对方法进行权限控制,通常采用的三个注解,就是@Secured().@PreAuthorize().@RolesAllowed(). 示例,修改用户密码必须 ...

  9. spring security 在controller层 方法级别使用注解 @PreAuthorize("hasRole('ROLE_xxx')")设置权限拦截 ,无权限则返回403

    1.前言 以前学习的时候使用权限的拦截,一般都是对路径进行拦截 ,要么用拦截器设置拦截信息,要么是在配置文件内设置拦截信息, spring security 支持使用注解的形式 ,写在方法和接口上拦截 ...

随机推荐

  1. java学习第八天

    第九次课 目标 1.  多态 2.  抽象类 3.  接口 4.  内部类(了解) 一.多态polymorphism 追求”高内聚低耦合”通过三大特性: 封装继承及多态来实现. 多态:多种形态,”出去 ...

  2. 转:Highcharts图表控件的使用

    摘要 Highcharts图表控件是目前使用最为广泛的图表控件.本文将从零开始逐步为你介绍Highcharts图表控件.通过本文,你将学会如何配置Highcharts以及动态生成Highchart图表 ...

  3. dede默认的表

    1.搜索关键词 表: dede_search_keywords 2.栏目关键 词描述 表 dede_arctype

  4. 跟开涛老师学shiro -- 编码/加密

    在涉及到密码存储问题上,应该加密/生成密码摘要存储,而不是存储明文密码.比如之前的600w csdn账号泄露对用户可能造成很大损失,因此应加密/生成不可逆的摘要方式存储. 5.1 编码/解码 Shir ...

  5. Windows与Linux的双系统的安装顺序及Linux的补救办法

    如果安装多重引导,最好先安装Windows再安装Linux系统,因为: Linux在安装的时候,你可以选择将引导加载程序安装在MBR或个别分区的启动扇区,而且Linux的loader可以手动设置菜单( ...

  6. lecture7-序列模型及递归神经网络RNN(转载)

    Hinton 第七课 .这里先说下RNN有recurrent neural network 和 recursive neural network两种,是不一样的,前者指的是一种人工神经网络,后者指的是 ...

  7. 递归神经网络之理解长短期记忆网络(LSTM NetWorks)(转载)

    递归神经网络 人类并不是每时每刻都从头开始思考.正如你阅读这篇文章的时候,你是在理解前面词语的基础上来理解每个词.你不会丢弃所有已知的信息而从头开始思考.你的思想具有持续性. 传统的神经网络不能做到这 ...

  8. ZOJ 1061 Web Navigation

    原题链接 题目大意:模拟一个浏览器,打开一个网页.后退或者前进,输出网址. 解法:用两个堆栈分别表示后退保存的网页和前进保存的网页.初始化时把当前页面压入后退堆栈的栈顶.要注意几点,一个是每次记得要清 ...

  9. hdu4642 Fliping game ——博弈

    link:http://acm.hdu.edu.cn/showproblem.php?pid=4642 refer to: http://www.cnblogs.com/jackge/archive/ ...

  10. JavaWeb学习记录(十九)——开发JSTL自定义标签

    一.防盗链标签 import javax.servlet.http.HttpServletResponse;import javax.servlet.jsp.JspException;import j ...