【发布时间】:2021-01-02 20:44:13
【问题描述】:
是否可以在@PreAuthorize 中使用请求标头值?
在我的应用中,所有请求都包含一个自定义标头,我需要将其与用户角色一起使用,以确定是否应允许它们访问控制器。
如果有人手动指定标头是可以的,因为这不会是安全问题,因为最终角色将控制它。但我需要使用它来减少在每个控制器方法中手动检查的次数。
谢谢, 马特
【问题讨论】:
-
@Controller?@RestController? -
抱歉,是的,在 @RestController 类中
-
如果你想为每个调用执行这样的请求,为什么不写一个过滤器??
-
很多控制器方法都需要这个,但不是全部...... @JuanBC。谢谢大家的回答和回复!
标签: spring spring-boot spring-security spring-expression-language