在Spring Security中,可以使用注解来实现用户授权,通过在方法或类上添加注解来限制用户对资源的访问。以下是一些常用的注解及其用法:
@PreAuthorize:在方法执行前进行权限验证。@PostAuthorize:在方法执行后进行权限验证。@Secured:用于标注类或方法需要特定角色才能访问。@RolesAllowed:用于标注类或方法需要特定角色才能访问,支持多个角色。@PreFilter:在方法执行前对集合参数进行过滤。@PostFilter:在方法执行后对集合结果进行过滤。
代码如下:
@Controller
public class MyController {
@PreAuthorize("hasRole('ADMIN')")
@GetMapping("/admin")
public String adminPage() {
return "adminPage";
}
@Secured("ROLE_USER")
@GetMapping("/user")
public String userPage() {
return "userPage";
}
@PostAuthorize("hasRole('ADMIN')")
@GetMapping("/postAdmin")
public String postAdminPage() {
return "postAdminPage";
}
@PreFilter("hasRole('ADMIN')")
@GetMapping("/preFilter")
public List<String> preFilterExample(@RequestParam List<String> items) {
return items;
}
}
在上面的代码中,使用了不同的注解来限制不同方法的访问权限:
- @PreAuthorize("hasRole('ADMIN')") :要求用户具有
"ADMIN"角色才能访问 adminPage() 方法。 - @Secured("ROLE_USER") :要求用户具有
"USER"角色才能访问 userPage() 方法。 - @PostAuthorize("hasRole('ADMIN')") :要求用户具有
"ADMIN"角色才能访问 postAdminPage() 方法。 - @PreFilter("hasRole('ADMIN')") :要求用户具有
"ADMIN"角色才能访问 preFilterExample() 方法,并对输入参数进行过滤。
原文链接: https://blog.csdn.net/2401_82884096/article/details/138211635