@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法详解

更新时间：2023年10月13日 08:31:10 作者：青岛老甜沫

这篇文章主要介绍了@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法详解,通过在方法上添加@PreAuthorize注解,可以指定需要满足的权限条件,只有满足条件的用户才能执行该方法,需要的朋友可以参考下

@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法

Spring Security中定义了四个支持使用表达式的注解，分别是

@PreAuthorize，@PostAuthorize，@PreFilter，@PostFilter：　

其中前两者可以用来在方法调用前或者调用后进行权限检查，后两者可以用来对集合类型的参数或者返回值进行过滤。　

要使它们的定义能够对我们的方法的调用产生影响我们需要设置global-method-security元素的pre-post-annotations=”enabled”，默认为disabled。

用法

在资源服务器中的config类中使用注解：

@Configuration //声明为配置类的bean
@EnableResourceServer //开启资源服务
@EnableOAuth2Client //开启OAuth2Client客户端
@EnableConfigurationProperties //开启读取配置文件的功能
//开启全局方法调用权限验证
// 当@EnableGlobalMethodSecurity(prePostEnabled=true)的时候，@PreAuthorize @PostAuthorize才可以使用
@EnableGlobalMethodSecurity(prePostEnabled = true)

@PreAuthorize用法

@PreAuthorize可以用来控制一个方法是否能够被调用。例：

@Service
public class UserServiceImpl implements UserService {
   @PreAuthorize("hasRole('ROLE_ADMIN')")
   public void addUser(User user) {
      System.out.println("addUser................" + user);
   }
   @PreAuthorize("hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')")
   public User find(int id) {
      System.out.println("find user by id............." + id);
      return null;
   }
}

在上面的代码中我们定义了只有拥有角色ROLE_ADMIN的用户才能访问adduser()方法，而访问find()方法需要有ROLE_USER角色或ROLE_ADMIN角色。

那注解的值可以参考类：

org.springframework.security.access.expression.SecurityExpressionOperations.class

另外，还可以使用表示式

public class UserServiceImpl implements UserService {
   /**
    * 限制只能查询Id小于10的用户
   */
   @PreAuthorize("#id<10")
   public User find(int id) {
      System.out.println("find user by id........." + id);
      return null;
   }
   /**
    * 限制只能查询自己的信息
    */
   @PreAuthorize("principal.username.equals(#username)")
   public User find(String username) {
      System.out.println("find user by username......" + username);
      return null;
   }
   /**
    * 限制只能新增用户名称为abc的用户
    */
   @PreAuthorize("#user.name.equals('abc')")
   public void add(User user) {
      System.out.println("addUser............" + user);
   }
}

在上面代码中我们定义了调用find(int id)方法时，只允许参数id小于10的调用；调用find(String username)时只允许username为当前用户的用户名；定义了调用add()方法时只有当参数user的name为abc时才可以调用。

@PostAuthorize用法

有时候可能你会想在方法调用完之后进行权限检查，这种情况比较少，但是如果你有的话，Spring Security也为我们提供了支持，通过@PostAuthorize可以达到这一效果。使用@PostAuthorize时我们可以使用内置的表达式returnObject表示方法的返回值。

下面这一段示例代码：

@PostAuthorize("returnObject.id%2==0")
   public User find(int id) {
      User user = new User();
      user.setId(id);
      return user;
   }

@PreFilter和@PostFilter的用法

使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。使用@PreFilter和@PostFilter时，Spring Security将移除使对应表达式的结果为false的元素。

 @PostFilter("filterObject.id%2==0"）
  public List<User> findAll() {
      List<User> userList = new ArrayList<User>();
      User user;
      for (int i=0; i<10; i++) {
         user = new User();
         user.setId(i);
         userList.add(user);
      }
      return userList;
   }

上述代码表示将对返回结果中id不为偶数的user进行移除。filterObject是使用@PreFilter和@PostFilter时的一个内置表达式，表示集合中的当前对象。当@PreFilter标注的方法拥有多个集合类型的参数时，需要通过@PreFilter的filterTarget属性指定当前@PreFilter是针对哪个参数进行过滤的。如下面代码就通过filterTarget指定了当前@PreFilter是用来过滤参数ids的

   @PreFilter(filterTarget="ids", value="filterObject%2==0")
   public void delete(List<Integer> ids, List<String> usernames) {
      ...
   }

到此这篇关于@PreAuthorize、@PostAuthorize、@PreFilter、@PostFilter注解的用法详解的文章就介绍到这了,更多相关@PreAuthorize、@PostAuthorize注解详解内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家！

您可能感兴趣的文章:

MyBatis加载映射文件和动态代理的实现
本文主要介绍了MyBatis加载映射文件和动态代理的实现，文中通过示例代码介绍的非常详细，对大家的学习或者工作具有一定的参考学习价值，需要的朋友们下面随着小编来一起学习学习吧
2023-05-05
IntelliJ IDEA连接MySQL数据库详细图解
今天小编就为大家分享一篇关于intellij idea连接mysql数据库详细图解，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
2018-10-10
浅谈java+内存分配及变量存储位置的区别
下面小编就为大家带来一篇浅谈java+内存分配及变量存储位置的区别。小编觉得挺不错的，现在就分享给大家，也给大家做个参考。一起跟随小编过来看看吧
2016-08-08
springboot如何配置ssl支持https
在SpringBoot应用中配置SSL支持HTTPS需要创建KeyStore并在application.yml中进行相应配置,首先,使用java的keytool工具创建KeyStore,这涉及到设置密钥对、指定密钥算法(RSA)、密钥大小(2048位)、密钥库名称、证书有效期等,创建KeyStore后
2024-10-10
详细分析JAVA 线程池
这篇文章主要介绍了JAVA 线程池的的相关资料，文中讲解非常细致，代码帮助大家更好的理解和学习，感兴趣的朋友可以了解下
2020-06-06
springboot植入pagerHelper的超详细教程
这篇文章主要介绍了springboot植入pagerHelper的超详细教程,本文通过图文并茂的形式给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
2021-01-01
Spring Security使用Lambda DSL配置流程详解
Spring Security 5.2 对 Lambda DSL 语法的增强，允许使用lambda配置HttpSecurity、ServerHttpSecurity，重要提醒，之前的配置方法仍然有效。lambda的添加旨在提供更大的灵活性，但是用法是可选的。让我们看一下HttpSecurity的lambda配置与以前的配置样式相比
2023-02-02
Mybatis步骤分解实现一个增删改查程序
MybatisPlus是国产的第三方插件，它封装了许多常用的CURDapi，免去了我们写mapper.xml的重复劳动。本文将整合MybatisPlus实现增删改查功能，感兴趣的可以了解一下
2022-05-05
Spring MVC 注解自动扫描失效原因分析
这篇文章主要介绍了Spring MVC 注解自动扫描失效原因分析,非常不错，具有参考借鉴价值，需要的朋友可以参考下
2016-07-07
Java多线程之ThreadLocal原理总结
这篇文章主要介绍了Java多线程ThreadLocal原理，同一个ThreadLocal所包含的对象，在不同的Thread中有不同的副本，文章中有详细的代码示例，需要的朋友参考一下
2023-04-04