Spring Security 注解的排序
[英]Ordering of Spring Security annotations
問題描述
如果一個方法有多個安全注解,它們的應用順序是什么?
例如,它是定義注釋的順序,還是固定的,例如SecuredAnnotationSecurityMetadataSource總是在PrePostAnnotationSecurityMetadataSource之前PrePostAnnotationSecurityMetadataSource ?
換句話說,調用這些方法時的求值順序是什么?
@Secured("ROLE_ADMIN")
@PreAuthorize("hasPermission(#target, 'read')")
void method1();
@PreAuthorize("hasPermission(#target, 'read')")
@Secured("ROLE_ADMIN")
void method2();
@PreAuthorize("hasRole('ADMIN') && hasPermission(#target, 'read')")
void method3();
@PreAuthorize("hasPermission(#target, 'read') && hasRole('ADMIN')")
void method4();
1 個解決方案
解決方案1
1 已采納 2016-03-09 17:37:54
tl; dr:混合@Secured和@PreAuthorize不起作用。
至於詳細的 在這里,一旦找到了第一個支持注釋的方法安全性攔截停止。
for (MethodSecurityMetadataSource s : methodSecurityMetadataSources) {
attributes = s.getAttributes(method, targetClass);
if (attributes != null && !attributes.isEmpty()) {
break;
}
}
DelegatingMethodSecurityMetadataSource故意只使用一個元數據源,第一個返回非空結果
順序是@PreAuthorize ≻ @Secured ≻ @RolesAllowed 。 因此問題中的方法一和方法二實際上等效於
@PreAuthorize("hasPermission(#target, 'read')")
void method();
即@Secured注釋被默默地忽略。
Spring Security @Secured和HttpSession配置順序
[英]spring security @Secured and HttpSession config ordering
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.