Spring Security服务器端方法级权限控制

在服务器端我们可以通过 Spring security 提供的注解对方法来进行权限控制(主要有3种方式)。 Spring Security 在方法的权限控制上

支持 三种类型 的注解， JSR-250注解 、 @Secured注解 和 支持表达式的注解 ，这三种注解默认都是没有启用的，需要单独通过global-method-security 元素的对应属性进行启用。

 

1.JSR-250注解介绍

（1）spring-security.xml中添加注解的开启:

（2）在pom.xml中导入相关的依赖:

    javax.annotation
    jsr250-api
    1.0

(3)在ProductController的方法上设置：

//查询全部产品
@RequestMapping("/findAll.do")
@RolesAllowed("ADMIN")//只有具有admin权限的用户登录才可以查看全部产品，如果这个用户没有admin的权限，点击页面会出现403权限不足的信息，因此要配置友好的页面见（4）
public ModelAndView findAll() throws Exception {
    ModelAndView mv = new ModelAndView();
    List ps = productService.findAll();
    mv.addObject("productList", ps);
    mv.setViewName("product-list1");
    return mv;

}

补充:

对于JSR-250注解来说，在controller中@RolesAllowed("ADMIN")，可以省略前面的ROLE_，但是在@Secured注解中就不可以省略。

 

（4）在web.xml中配置：

  403
  /403.jsp

 

 

2.@Secured注解介绍

 

@Secured注解是spring security默认提供的，因此不需要在web。xml中导入依赖。

 

 

3.支持表达式的注解介绍

 

只有用户名是tom的用户可以进行用户的添加，其他任何角色都不行，只有权限有admin的角色可以进行查询所有用户。