第 14 章　保护方法应用

本章内容：

在离家或上床睡觉之前，我做的最后一件事就是确保房间的门已经关好。但是在此之前，我会设置好警报。为什么呢？这是因为，尽管门锁是保证安全的一个好办法，但是警报系统提供了第二层防护，窃贼有可能会越过门锁的保护。

在第 9 章中，我们看到了如何使用 Spring Security 保护应用的 Web 层。Web 安全是非常重要的，它能阻止用户访问没有权限的内容。但是，如果应用的 Web 层出现安全漏洞会怎样呢？如果用户能够请求他们不允许访问的内容会怎样呢？

尽管我们没有理由认为用户能够攻破应用的安全层，但是在 Web 层出现安全漏洞实在是太容易了。例如，假设用户请求了一个允许访问的页面，但是由于开发人员不认真，处理这个请求的控制器方法返回了该用户不允许看到的数据。这是一个无心之失，不过，安全问题很可能就是无心之失所造成的，因为他们是非常聪明的攻击者。

我们可以同时保护应用的 Web 层以及场景后面的方法，这样就能保证如果用户不具备权限的话，就无法执行相应的逻辑。

在本章中，我们将会看到如何使用 Spring Security 保护 bean 方法。通过这种方式，就能声明安全规则，保证如果用户没有执行方法的权限，就不会执行相应的方法。首先，我们会看一些可以放在方法上的简单注解，它们能够将方法锁定，阻止无权限用户的访问。

Last updated 4 years ago