服务器端方法级权限控制
在服务器端我们可以通过Spring security提供的注解对方法来进行权限控制。Spring Security在方法的权限控制上
支持三种类型的注解,JSR-250注解、@Secured注解和支持表达式的注解,这三种注解默认都是没有启用的,需要单独通过global-method-security元素的对应属性进行启用
开启注解使用
第一步在spring-security.xml文件中加上下面这段
<security:global-method-security jsr250-annotations="enabled"/>
第二步,导入依赖
<dependency>
<groupId>javax.annotation</groupId>
<artifactId>jsr250-api</artifactId>
<version>1.0</version>
</dependency>
第三步,在指定的方法上使用
@RolesAllowed表示访问对应方法时所应该具有的角色
@PermitAll表示允许所有的角色进行访问,也就是说不进行权限控制
@DenyAll是和PermitAll相反的,表示无论什么角色都不能访问
实例
这里的ADMIN是我创建的一个角色,设定只有角色是ADMIN才能访问查询所有的方法
