No está claro para mí lo que es la diferencia en la seguridad de muelle entre:¿Cuál es la diferencia entre @Secured y @PreAuthorize en spring security 3?
@PreAuthorize("hasRole('ROLE_USER')")
public void create(Contact contact)
Y
@Secured("ROLE_USER")
public void create(Contact contact)
entiendo preauthorize puede trabajar con muelle EL pero en mi muestra, es que hay una diferencia real?
La verdadera diferencia es que @PreAuthorize puede funcionar con Spring Expression Language (SpEL). Puede:
SecurityExpressionRoot.argumentos del método de acceso (requiere compilación con información de depuración o la costumbre ParameterNameDiscoverer):
@PreAuthorize("#contact.name == principal.name")
public void doSomething(Contact contact)
MethodSecurityExpressionHandler y configurarlo como <global-method-security><expression-handler ... /></...>).Simplemente, @PreAuthorize es más nuevo que @Secured.
Por eso digo que es mejor utilizar @PreAuthorize, ya que es "basadas en la expresión" y se puede utilizar expresiones como hasRole, hasAnyRole, permitAll, etc.
Para aprender acerca de las expresiones, ver a estos example expressions.
Si quería hacer algo así como el acceso al método sólo si el usuario tiene role1 y Role2 la que tendrían que utilizar @PreAuthorize
@PreAuthorize("hasRole('ROLE_role1') and hasRole('ROLE_role2')")
Uso
@Secured({"role1", "role2"}) is treated as an OR
@PreAuthorize es diferente, es más poderoso que @Secured.
Las antiguas anotaciones seguras no permitían el uso de expresiones. A partir de Spring Security 3, se prefieren las anotaciones más flexibles @PreAuthorize y @PostAuthorize (así como @PreFilter y @PostFilter), ya que admiten Spring Expression Language (SpEL) y proporcionan control de acceso basado en expresiones.
El @Secured ("ROLE_ADMIN") anotación es la misma que @PreAuthorize ("hasRole ('ROLE_ADMIN')") El @Secured ({ "ROLE_USER", "ROLE_ADMIN") se considera como ROLE_USER O ROLE_ADMIN. por lo que no puede expresar la condición Y usando @Secured. Puede definir lo mismo con @PreAuthorize ("hasRole ('ADMIN O hasRole (' USER ')"), que es más fácil de comprender . Puede expresar Y, O, o NO (!) También.
@PreAuthorize ("!isAnonymous() AND hasRole ('ADMIN') ")
OK, entonces en mi ejemplo no hay diferencia, gracias! –
No sabía de esto, pero parece increíble!: D –