Qual è la differenza tra @Secured e @PreAuthorize in spring security 3?

110

non è chiaro per me qual è la differenza nella sicurezza molla tra:Qual è la differenza tra @Secured e @PreAuthorize in spring security 3?

@PreAuthorize("hasRole('ROLE_USER')") 
public void create(Contact contact)

@Secured("ROLE_USER") 
public void create(Contact contact)

Capisco pre-autorizzare può lavorare con la primavera el ma nel mio campione, c'è una vera differenza?

fonte

2010-09-24 Jerome VDL

127

La vera differenza è che @PreAuthorize può funzionare con Spring Expression Language (SpEL). È possibile:

Metodi di accesso e proprietà di SecurityExpressionRoot.
metodo di accesso argomenti (richiede la compilazione con informazioni di debug o personalizzato ParameterNameDiscoverer):
```
@PreAuthorize("#contact.name == principal.name") 
public void doSomething(Contact contact) 
```
(Funzioni avanzate) Aggiungere i propri metodi (ignorare MethodSecurityExpressionHandler e impostarlo come <global-method-security><expression-handler ... /></...>).

fonte

2010-09-24 11:26:51 axtavt

OK, quindi nel mio esempio nessuna differenza, grazie! –

Non lo sapevo, ma sembra fantastico!: D –

Semplicemente, @PreAuthorize è più recente rispetto @Secured.

Così mi dicono che è meglio usare @PreAuthorize come è "espressione-based" ed è possibile utilizzare espressioni come hasRole, hasAnyRole, permitAll, ecc

Per conoscere le espressioni, vedere questi example expressions.

fonte

2012-03-06 02:12:31 Dennis

se si voleva fare qualcosa di simile l'accesso al metodo solo se l'utente ha Role1 e Role2 la si dovrebbe usare @PreAuthorize

@PreAuthorize("hasRole('ROLE_role1') and hasRole('ROLE_role2')")

Uso

@Secured({"role1", "role2"}) is treated as an OR

fonte

2012-12-18 20:03:00 arnabmitra

@PreAuthorize è diverso, è più potente di @Secured.

Le vecchie annotazioni @Secured non consentivano l'utilizzo di espressioni. A partire da Spring Security 3, sono preferite le annotazioni più flessibili @PreAuthorize e @PostAuthorize (nonché @PreFilter e @PostFilter), in quanto supportano Spring Expression Language (SpEL) e forniscono il controllo degli accessi basato sull'espressione.

Il @Secured ("ROLE_ADMIN") annotazione è lo stesso di @PreAuthorize ("hasRole ('ROLE_ADMIN')") Il @Secured ({ "ROLE_USER", "ROLE_ADMIN") è considerato come ROLE_USER O ROLE_ADMIN. quindi non è possibile esprimere la condizione AND utilizzando @Secured. Puoi definire lo stesso con @PreAuthorize ("hasRole ('ADMIN OR hasRole (' USER ')"), che è più semplice da comprendere . Puoi esprimere AND, OR, o NOT (!) Pure

@PreAuthorize ("!isAnonymous() AND hasRole ('ADMIN') ")

fonte

2017-10-03 08:32:00

Qual è la differenza tra @Secured e @PreAuthorize in spring security 3?

risposta

Problemi correlati