我刚接触Spring Security,正在检查如何授权对应用程序中URL的请求。

根据文档here,我们添加如下授权:

protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/resources/**", "/signup", "/about").permitAll()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
            .anyRequest().authenticated()
            .and()
        // ...
        .formLogin();
}


由于此方法对我来说效果很好,我想知道是否还有另一种动态方式指定此配置。例如,通过为我们的REST控制器使用某种注释?

我有一个切实可行的解决方案,但是我想确保在开始开发自己的代码之前没有其他方法可以做到这一点。

谢谢您的帮助。

最佳答案

是的,有一个注释为@Secured/@PreAuthorize/@PostAuthorize。该批注是应用方法级安全性的首选方法,并且开箱即用地支持Spring Expression Language,并提供基于表达式的访问控制。

例如

@PreAuthorize("hasRole('ADMIN')") public String yourControllerMethod() { return response;}

有关详细信息,请检查here.

09-30 08:53