我正在使用 Spring MVC 和 Spring Security 制作一个简单的 Web 应用程序。有人可以解释一下在哪些场景中我们需要方法级别的安全性和 URL 级别的安全性吗? 因为我们可以限制特定角色的用户通过 URL 级别的安全性或通过在操作视图中保留安全性标签来访问页面。那么,用户如何从服务层访问方法呢?在这种情况下,方法级别的安全性如何提供帮助?请解释一下。
提前致谢。
【问题讨论】:
标签: spring-mvc spring-security
方法级安全性可以被视为对 URL 级安全性的补充。例如,我们可能希望应用程序中的某些 URL 受到保护,需要角色 ROLE_USER 访问它们。这可以通过 URL 级别的安全性来实现。
https://domain.com/entities/5
考虑以上可以通过 URL 级别安全性保护的 URL,如下所示。
<security:intercept-url pattern="/entities/**" access="hasRole('ROLE_USER')" />
但是,有时您需要更细粒度的安全性。例如,您可能希望只允许其所有者访问给定实体 (id=5)。这是通过 URL 级别的安全性无法实现的,但可以通过方法级别的安全性来实现。
【讨论】: