Spring Security的权限检查

Spring Security权限检查有两种配置方式,一种就是传统的XML配置/JAVA代码配置(HttpSecurity对象),另一种则是在Controller层使用Annotation.

在源码方面,使用HttpSecurity或者配置http xml tag方式的权限校验是在Filter Chain的最后一个Filter -- [b]FilterSecurityInterceptor[/b]中处理的,逻辑上会先根据访问的URL,反向去寻找配置(XML/Java Config)中这个URL所配置的权限是什么。 然后,根据配置的投票器,拿当前访问中的Authentication对象,和配置的权限(一般是EL表达式如hasRole...等)去进行匹配,如果匹配不成功,则会抛出AccessDeniedException异常,由上层Filter:ExceptionTranslationFilter处理。

而由Annotation方式配置的权限,则是在这之后执行的,其原理是使用了Spring AOP,在Controller方法调用之前,会进入MethodSecurityInterceptor类,并且在其父抽象类中实现了校验逻辑,校验方式都是采用了投票器,不再赘述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值