springSecurity标签，特别是@PreAuthorize

spring security中可以通过表达式控制方法权限：

• @PreAuthorize
• @PostAuthorize
• @PreFilter
• @PostFilter

其中前两者可以用来在方法调用前或者调用后进行权限检查，后两者可以用来对集合类型的参数或者返回值进行过滤。

使用@PreAuthorize和@PostAuthorize进行访问控制

@PreAuthorize可以用来控制一个方法是否能够被调用

Controller层

    /**
     * 根据用户编号获取详细信息
     */
    @PreAuthorize("@ss.hasPermi('system:user:query')")
    @GetMapping(value = {
      "/", "/{userId}" })
    public AjaxResult getInfo(@PathVariable(value = "userId", required = false) Long userId)
    {
     
		...
		...
		...
    }

对应service层

@Service("ss")
public class PermissionService
{
     	
	 /**
     * 验证用户是否具备某权限
     * 
     * @param permission 权限字符串
     * @return 用户是否具备某权限
     */
    public boolean hasPermi(String permission)
    {
     

    }
}

@PreAuthorize("@ss.hasPermi(‘system:user:query’)")表示：

• @ss标签对应的PermissionService
• hasPermi方法
• 传入参数为system:user:query，表示用户的查询权限

@PostAuthorize目前并没有碰到

使用@PreFilter和@PostFilter进行过滤

使用@PreFilter和@PostFilter可以对集合类型的参数或返回值进行过滤。

使用@PreFilter和@PostFilter时，Spring Security将移除使对应表达式的结果为false的元素。
目前碰到的不多。