[英]Ordering of Spring Security annotations
如果一個方法有多個安全注解,它們的應用順序是什么?
例如,它是定義注釋的順序,還是固定的,例如SecuredAnnotationSecurityMetadataSource
總是在PrePostAnnotationSecurityMetadataSource
之前PrePostAnnotationSecurityMetadataSource
?
換句話說,調用這些方法時的求值順序是什么?
@Secured("ROLE_ADMIN")
@PreAuthorize("hasPermission(#target, 'read')")
void method1();
@PreAuthorize("hasPermission(#target, 'read')")
@Secured("ROLE_ADMIN")
void method2();
@PreAuthorize("hasRole('ADMIN') && hasPermission(#target, 'read')")
void method3();
@PreAuthorize("hasPermission(#target, 'read') && hasRole('ADMIN')")
void method4();
tl; dr:混合@Secured
和@PreAuthorize
不起作用。
至於詳細的 在這里,一旦找到了第一個支持注釋的方法安全性攔截停止。
for (MethodSecurityMetadataSource s : methodSecurityMetadataSources) {
attributes = s.getAttributes(method, targetClass);
if (attributes != null && !attributes.isEmpty()) {
break;
}
}
DelegatingMethodSecurityMetadataSource
故意只使用一個元數據源,第一個返回非空結果
順序是@PreAuthorize
≻ @Secured
≻ @RolesAllowed
。 因此問題中的方法一和方法二實際上等效於
@PreAuthorize("hasPermission(#target, 'read')")
void method();
即@Secured
注釋被默默地忽略。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.