Para mí no está claro cuál es la diferencia en la seguridad de primavera entre:
@PreAuthorize("hasRole('ROLE_USER')")
public void create(Contact contact)
Y
@Secured("ROLE_USER")
public void create(Contact contact)
Entiendo que PreAuthorize puede funcionar con spring el pero, en mi muestra, ¿hay alguna diferencia real?
Respuestas:
La verdadera diferencia es que @PreAuthorizepuede funcionar con Spring Expression Language (SpEL) . Usted puede:
SecurityExpressionRoot.Argumentos del método de acceso (requiere compilación con información de depuración o personalizada ParameterNameDiscoverer):
@PreAuthorize("#contact.name == principal.name")
public void doSomething(Contact contact)
MethodSecurityExpressionHandlery configúrelo como <global-method-security><expression-handler ... /></...>).Si quisieras hacer algo como acceder al método solo si el usuario tiene Role1 y Role2, entonces deberías usar @PreAuthorize
@PreAuthorize("hasRole('ROLE_role1') and hasRole('ROLE_role2')")
Utilizando
@Secured({"role1", "role2"}) // is treated as an OR
Simplemente,
@PreAuthorizees más nuevo que @Secured.
Entonces, digo que es mejor usarlo @PreAuthorizeya que está "basado en expresiones" y puede usar expresiones como hasRole, hasAnyRole, permitAll, etc.
Para aprender sobre expresiones, vea estos ejemplos de expresiones .
@PreAuthorizees diferente, es más poderoso que @Secured.
Las
@Securedanotaciones anteriores no permitían el uso de expresiones.
A partir de Spring Security 3, se prefieren las anotaciones más flexibles
@PreAuthorizey@PostAuthorize(además de @PreFilter y @PostFilter), ya que admiten Spring Expression Language (SpEL) y proporcionan control de acceso basado en expresiones.
@Secured("ROLE_ADMIN")anotación es lo mismo que@PreAuthorize ("hasRole('ROLE_ADMIN')").
El
@Secured({"ROLE_USER","ROLE_ADMIN")se considera como ROLE_USER O ROLE_ADMIN.
así que no puedes expresar la condición AND usando
@Segured . Puede definir lo mismo con
@PreAuthorize("hasRole('ADMIN') OR hasRole('USER')"), que es más fácil de entender. Puede expresar AND, OR o NOT (!) .@PreAuthorize ("! IsAnonymous () AND hasRole ('ADMIN')")
"hasRole('ADMIN OR hasRole('USER')"?
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| | @Secured | @PreAuthorize |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Spring EL expressions | Does'nt supports. | Supports |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Multiple roles conjunctions with AND operator | Does'nt supports.(If there are multiple roles defined | Supports |
| |they will be automatically combined with OR operator) | |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| To enable annotation | Add following line to spring-security.xml | Add following line to spring-security.xml |
| | <global-method-security secured-annotations="enabled" /> | <global-method-security pre-post-annotations="enabled"/> |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Example | @Secured({ROLE_ADMIN , ROLE_USER}) | @PreAuthorize("hasRole('ROLE_USER') and hasRole('ROLE_ADMIN')") |
| | public void addUser(UserInfo user){...} | public void addUser(UserInfo user){...} |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+