服务器端方法级权限控制：JSR-250注解、@Secured注解和支持表达式的注解，以及拦截后的异常处理

2023-05-16

权限控制

导入依赖

<dependency>
            <groupId>javax.annotation</groupId>
            <artifactId>jsr250-api</artifactId>
            <version>1.0</version>
</dependency>

配置文件（加在springmvc的配置文件中，因为这些注解都是在controler层里面生效的）

<security:global-method-security jsr250-annotations="enabled"/>

.JSR-250注解
@RolesAllowed表示访问对应方法时所应该具有的角色
示例： @RolesAllowed({“USER”, “ADMIN”}) 该方法只要具有"USER",
"ADMIN"任意一种权限就可以访问。这里可以省略前缀ROLE_，实际
的权限可能是ROLE_ADMIN
@PermitAll表示允许所有的角色进行访问，也就是说不进行权限控制 @DenyAll是和PermitAll相反的，表示无论什么角色都不能访问

.@Secured注解

<security:global-method-security secured-annotations="enabled"/>

@Secured注解标注的方法进行权限控制的支持，其值默认为disabled

 示例：   
 @Secured("IS_AUTHENTICATED_ANONYMOUSLY")   
 public Account readAccount(Long id);   
 @Secured("ROLE_TELLER")

支持表达式的注解

<security:global-method-security pre-post-annotations="disabled"/>

@PreAuthorize 在方法调用之前,基于表达式的计算结果来限制对方法的访问
示例：
@PreAuthorize("#userId == authentication.principal.userId or hasAuthority(‘ADMIN’)") void changePassword(@P("userId") long userId ){ }
这里表示在changePassword方法执行之前，判断方法参数userId的值是否等于principal中保存的当前用户的 userId，或者当前用户是否具有ROLE_ADMIN权限，两种符合其一，就可以访问该方法

@PostAuthorize 允许方法调用,但是如果表达式计算结果为false,将抛出一个安全性异常

@PostAuthorize User getUser("returnObject.userId == authentication.principal.userId or hasPermission(returnObject, 'ADMIN')");

@PostFilter 允许方法调用,但必须按照表达式来过滤方法的结果
@PreFilter 允许方法调用,但必须在进入方法之前过滤输入值

异常处理

有三种处理方式

在spring-security的配置文件中的security:http标签中配置（只能处理一个403，不太推荐使用）

		<!--处理403页面(只能处理403页面)-->
        <security:access-denied-handler error-page=""/>

在web.xml配置文件中配置，可以配置多个

	<!--处理403异常-->
    <error-page>
        <error-code>403</error-code>
        <location>/403.jsp</location>
    </error-page>
    <!--处理404异常-->
    <error-page>
        <error-code>404</error-code>
        <location>/404.jsp</location>
    </error-page>

拦截器
写一个拦截器
第一种：

@Component
public class HandlerControllerException implements HandlerExceptionResolver {
    /**
     *
     * @param httpServletRequest
     * @param httpServletResponse
     * @param o 出现异常的对象
     * @param e 出现异常的信息
     * @return ModelAndView
     */

    @Override
    public ModelAndView resolveException(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Object o, Exception e) {
        ModelAndView mv =new ModelAndView();
        mv.addObject("error",e.getMessage());
        if (e instanceof AccessDeniedException){
            mv.setViewName("redirect:/403.jsp");
        }else {
            mv.setViewName("redirect:/500.jsp");
        }

        return mv;
    }
}

第二种：

@ControllerAdvice
public class HandlerControllerAdvice {
     @ExceptionHandler(AccessDeniedException.class)
      public String accessDeniedException(){
          return "redirect:/403.jsp";
      }
      @ExceptionHandler(RuntimeException.class)
      public String runtimeExecption(){
         return "redirect:/500.jsp";
      }
}

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)