springSecurity 基于方法的细粒度权限控制(动态代理)

springSecurity
基于方法的细粒度权限控制(动态代理)

1导入jar包

javax.annotation
jsr250-api
1.0

2.security.xml文件中配置

<security:global-method-security jsr250-annotations=“enabled”/>

3.在方法上添加注解
@RolesAllowed

@RequestMapping("/findAll.do")
@RolesAllowed(“ADMIN”)//jsr-250 注解 只有ADMIN用户才可以访问
public ModelAndView findAll() throws Exception {
ModelAndView mv = new ModelAndView();
List productList = ps.findAll();
mv.addObject(“productList”,productList);
mv.setViewName(“product-list”);
return mv;
}

@secured
1.开启使用

<security:global-method-security secured-annotations=“enabled”/>

2.再方法上使用注解
@Secured(“ROLE_ADMIN”) //在使用JSR250注解时,可以省略ROLE_前缀,而使用@Secured是不能省略前缀的

当同事开启@Secured和JSR250注解时需要这么配置
<security:global-method-security jsr250-annotations=“enabled” secured-annotations=“enabled”/>

页面端进行权限控制
1.导入依赖 jar包

org.springframework.security
spring-security-taglibs
${spring.security.version}

2.在相应的jsp界面导入标签
<%@taglib uri=“http://www.springframework.org/security/tags” prefix=“security”%>
3.在页面上使用
authentication 可以获取当前用户的信息
property： 只允许指定Authentication所拥有的属性，可以进行属性的级联获取，如“principle.username”，
不允许直接通过方法进行调用

获取用户的信息
<security:authentication property=“principal.username”></security:authentication>

authorize: 用于控制页面上某些标签是否可以使用
<security:authorize access=“hasRole(‘ADMIN’)”>
用户管理

</security:authorize>

4,使用在security.xml配置或者设置webexpressionHandler的bean

<security:http auto-config=“true” use-expressions=“true”>

<security:intercept-url pattern="/**" access=“hasAnyRole(‘ROLE_USER’,‘ROLE_ADMIN’)”/>

或者

<bean id="webexpressionHandler" 
		class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />

不开启设置一个bean就可以了