为什么在 Spring Security 的 hasPermission 检查中使用“#post”而不是“post”

【问题标题】:Why use "#post" instead of "post" in hasPermission check in Spring Security为什么在 Spring Security 的 hasPermission 检查中使用“#post”而不是“post”
【发布时间】:2015-09-09 12:08:15
【问题描述】:

我是 Spring Security 的新手。在分析以下代码更改时,我无法理解为什么使用“#post”而不是“post”?为什么“post”这个词要以“#”为前缀? post 是一个对象。

@PreAuthorize("hasPermission(#post, 'MANAGER') or hasRole('ROLE_MODERATOR')")
+   @PreAuthorize("hasPermission(#post, 'write') or hasRole('ROLE_MODERATOR')")
    public void updateFullyPost(Post post) throws AppException;

我参考了 spring 安全文档并找到了以下内容。

hasPermission(对象目标,对象权限) 如果用户有权访问所提供的目标以获得给定的权限,则返回 true。例如,hasPermission(domainObject, 'read')

第一个参数应该是一个目标对象。

有人可以提供一些指导吗?欣赏它。谢谢。

【问题讨论】:

    标签: java spring security spring-security spring-security-oauth2


    【解决方案1】:

    Spring Expression Language(SpEL)中:

    可以使用#variableName语法在表达式中引用变量。

    当调用带有 @PreAuthorize 等注解的方法时,方法参数将作为变量传递给 SpEL。

    如果省略#,Spring 将在根对象 中查找属性,在​​本例中为SecurityExpressionRoot。您可以在其中找到hasPermission 方法。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2013-09-24
      • 2021-12-24
      • 2012-01-02
      • 2018-02-03
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode