方法安全
<method-security>
此元素是将方法安全支持添加到 Spring Security bean 的主要方式。可以通过使用注解(在接口或类级别定义)或定义一组切入点来保护方法。
<method-security> 属性
-
pre-post-enabled 启用此应用上下文的 Spring Security 前置和后置调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为 "true"。
-
secured-enabled 启用此应用上下文的 Spring Security @Secured 注解。默认为 "false"。
-
jsr250-enabled 启用此应用上下文的 JSR-250 授权注解(@RolesAllowed、@PermitAll、@DenyAll)。默认为 "false"。
-
mode 如果设置为 "aspectj",则使用 AspectJ 拦截方法调用。
-
proxy-target-class 如果为 true,将使用基于类的代理而不是基于接口的代理。默认为 "false"。
-
security-context-holder-strategy-ref 指定在检索 SecurityContext 时使用的 SecurityContextHolderStrategy。默认为 SecurityContextHolder.getContextHolderStrategy() 返回的值。
-
observation-registry-ref 用于 FilterChain 及相关组件的
ObservationRegistry
引用
<global-method-security>
此元素是将方法安全支持添加到 Spring Security bean 的主要方式。可以通过使用注解(在接口或类级别定义)或使用 AspectJ 语法定义一组切入点作为子元素来保护方法。
<global-method-security> 属性
-
access-decision-manager-ref 方法安全使用与 Web 安全相同的
AccessDecisionManager
配置,但可以使用此属性覆盖。默认使用 AffirmativeBased 实现,包含 RoleVoter 和 AuthenticatedVoter。
-
authentication-manager-ref 方法安全应使用的
AuthenticationManager
引用。
-
jsr250-annotations 指定是否使用 JSR-250 风格的属性(例如 "RolesAllowed")。这需要在 classpath 中包含 javax.annotation.security 类。将其设置为 true 还会将
Jsr250Voter
添加到AccessDecisionManager
中,因此如果使用自定义实现并希望使用这些注解,需要确保执行此操作。
-
metadata-source-ref 可以提供一个外部的
MethodSecurityMetadataSource
实例,它将优先于其他来源(例如默认注解)。
-
mode 此属性可以设置为 "aspectj" 以指定应使用 AspectJ 而不是默认的 Spring AOP。受保护的方法必须使用
spring-security-aspects
模块中的AnnotationSecurityAspect
进行织入。
重要的是要注意,AspectJ 遵循 Java 的规则,即接口上的注解不会被继承。这意味着在接口上定义安全注解的方法将不会被保护。相反,在使用 AspectJ 时,必须将安全注解放在类上。
-
order 允许为方法安全拦截器设置通知的 "order"。
-
pre-post-annotations 指定是否应为此应用上下文启用 Spring Security 前置和后置调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为 "disabled"。
-
proxy-target-class 如果为 true,将使用基于类的代理而不是基于接口的代理。
-
run-as-manager-ref 配置的
MethodSecurityInterceptor
将使用的可选RunAsManager
实现的引用
-
secured-annotations 指定是否应为此应用上下文启用 Spring Security 的 @Secured 注解。默认为 "disabled"。
<after-invocation-provider>
<pre-post-annotation-handling>
<invocation-attribute-factory>
<post-invocation-advice>
<pre-invocation-advice>
使用以下方式保护方法
<protect-pointcut>
您可以使用 <protect-pointcut>
元素在服务层中为整个方法和接口集定义横切安全约束,而不是使用 @Secured
注解在单个方法或类上定义安全属性。您可以在 命名空间介绍 中找到示例。