Je ne sais pas quelle est la différence de sécurité du ressort entre:
@PreAuthorize("hasRole('ROLE_USER')")
public void create(Contact contact)
Et
@Secured("ROLE_USER")
public void create(Contact contact)
Je comprends que PreAuthorize peut fonctionner avec spring el mais dans mon échantillon, y a-t-il une vraie différence?
Réponses:
La vraie différence est que cela @PreAuthorizepeut fonctionner avec Spring Expression Language (SpEL) . Vous pouvez:
SecurityExpressionRoot.Arguments de méthode d'accès (nécessite une compilation avec des informations de débogage ou personnalisées ParameterNameDiscoverer):
@PreAuthorize("#contact.name == principal.name")
public void doSomething(Contact contact)
MethodSecurityExpressionHandleret définissez-la comme <global-method-security><expression-handler ... /></...>).Si vous vouliez faire quelque chose comme accéder à la méthode uniquement si l'utilisateur a Role1 et Role2, vous devrez utiliser @PreAuthorize
@PreAuthorize("hasRole('ROLE_role1') and hasRole('ROLE_role2')")
En utilisant
@Secured({"role1", "role2"}) // is treated as an OR
Simplement,
@PreAuthorizeest plus récent que @Secured.
Je dis donc qu'il est préférable de l'utiliser @PreAuthorizecar il est "basé sur une expression" et que vous pouvez utiliser des expressions comme hasRole, hasAnyRole, permitAll, etc.
Pour en savoir plus sur les expressions, consultez ces exemples d'expressions .
@PreAuthorizeest différent, il est plus puissant que @Secured.
Les
@Securedannotations plus anciennes ne permettaient pas l'utilisation d'expressions.
À partir de Spring Security 3, les annotations
@PreAuthorizeet@PostAuthorize(ainsi que @PreFilter et @PostFilter) plus flexibles sont préférables, car elles prennent en charge Spring Expression Language (SpEL) et fournissent un contrôle d'accès basé sur les expressions.
@Secured("ROLE_ADMIN")l'annotation est la même que@PreAuthorize ("hasRole('ROLE_ADMIN')").
Le
@Secured({"ROLE_USER","ROLE_ADMIN")est considéré comme ROLE_USER OU ROLE_ADMIN.
vous ne pouvez donc pas exprimer la condition AND en utilisant
@ Sécurisé . Vous pouvez définir la même chose avec
@PreAuthorize("hasRole('ADMIN') OR hasRole('USER')"), ce qui est plus facile à comprendre. Vous pouvez également exprimer AND, OR ou NOT (!) .@PreAuthorize ("! IsAnonymous () AND hasRole ('ADMIN')")
"hasRole('ADMIN OR hasRole('USER')"?
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| | @Secured | @PreAuthorize |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Spring EL expressions | Does'nt supports. | Supports |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Multiple roles conjunctions with AND operator | Does'nt supports.(If there are multiple roles defined | Supports |
| |they will be automatically combined with OR operator) | |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| To enable annotation | Add following line to spring-security.xml | Add following line to spring-security.xml |
| | <global-method-security secured-annotations="enabled" /> | <global-method-security pre-post-annotations="enabled"/> |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Example | @Secured({ROLE_ADMIN , ROLE_USER}) | @PreAuthorize("hasRole('ROLE_USER') and hasRole('ROLE_ADMIN')") |
| | public void addUser(UserInfo user){...} | public void addUser(UserInfo user){...} |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+