14.1.1 使用 @Secured 注解限制方法调用
在 Spring 中,如果要启用基于注解的方法安全性,关键之处在于要在配置类上使用 @EnableGlobalMethodSecurity,如下所示:
除了使用 @EnableGlobalMethodSecurity 注解,我们可能也注 意到配置类扩展了 GlobalMethodSecurityConfiguration。在第 9 章中,Web 安全的配置类扩展了 WebSecurityConfigurerAdapter,与之类似,这个类能够为方法级别的安全性提供更精细的配置。
例如,如果我们在 Web 层的安全配置中设置认证,那么可以通过重载 GlobalMethodSecurityConfiguration 的 configure() 方法实现该功能:
在本章稍后的 14.2.2 小节中,我们将会看到如何重载 GlobalMethodSecurityConfiguration 的 createExpressionHandler() 方法,提供一些自定义的安全表达式处理行为。
让我们回到 @EnableGlobalMethodSecurity 注解,注意它的 securedEnabled 属性设置成了 true。如果 securedEnabled 属性的值为 true 的话,将会创建一个切点,这样的话 Spring Security 切面就会包装带有 @Secured 注解的方法。例如,考虑如下这个带有 @Secured 注解的 addSpittle() 方法:
@Secured 注解会使用一个 String 数组作为参数。每个 String 值是一个权限,调用这个方法至少需要具备其中的一个权限。通过传递进来 ROLE_SPITTER,我们告诉 Spring Security 只允许具有 ROLE_SPITTER 权限的认证用户才能调用 addSpittle() 方法。
如果传递给 @Secured 多个权限值,认证用户必须至少具备其中的一个才能进行方法的调用。例如,下面使用 @Secured 的方式表明用户必须具备 ROLE_SPITTER 或 ROLE_ADMIN 权限才能触发这个方法:
如果方法被没有认证的用户或没有所需权限的用户调用,保护这个方法的切面将抛出一个 Spring Security 异常(可能是 AuthenticationException 或 AccessDeniedException 的子类)。它们是非检查型异常,但这个异常最终必须要被捕获和处理。如果被保护的方法是在 Web 请求中调用的,这个异常会被 Spring Security 的过滤器自动处理。否则的话,你需要编写代码来处理这个异常。
@Secured 注解的不足之处在于它是 Spring 特定的注解。如果更倾向于使用 Java 标准定义的注解,那么你应该考虑使用 @RolesAllowed 注解。
Last updated