在 Spring Security 的 PreAuthorize 注解中使用 permitAll() 的目的

Question

作为 Spring 安全框架的新手，我想知道为什么我们将 @PreAuthorize("permitAll()") 与方法一起使用？文档说 permitAll 总是评估为真。 (http://docs.spring.io/spring-security/site/docs/3.0.x/reference/el-access.html)

另外，我有以下代码更改。开发人员从 permitAll() 更改为特定权限检查。这里的含义是什么？由于我不太确定 permitAll() 的工作原理，因此我无法判断代码更改背后的逻辑。在我看来，开发人员添加了特定的权限检查，并且他将 null 作为身份验证对象传递。有人可以解释显式传递 null 作为身份验证对象有什么影响吗？如果未经身份验证的用户对目标对象具有此特定的“LUONTI”权限-“opetussuunnitelma”，他们是否可以访问？

-    @PreAuthorize("permitAll()")
+    @PreAuthorize("hasPermission(null, 'opetussuunnitelma', 'LUONTI')")
     OpetussuunnitelmaDto addOpetussuunnitelma(OpetussuunnitelmaDto opetussuunnitelmaDto);

谢谢。非常感谢任何帮助！

Answer 1

permitAll() 完全按照它所说的去做。它允许（允许）任何用户的（所有）会话被授权执行该方法。

spring 管理其身份验证和授权的方式意味着访问您网站的任何人都将获得一个会话。此会话可以是匿名的，也可以是经过身份验证的（用户提供了某种凭据并且系统已接受它）。 permitAll（例如hasPermission()）的替代方案通常会检查用户的身份验证，以确保在允许调用带注释的类/方法之前为他们分配了一些角色或组。

如果使用permitAll()，则表示明确允许任何会话（匿名或经过身份验证）访问带注释的方法。

其他开发人员所做的代码更改已将给定方法限制为自定义方法。看看这个Spring - Expression-Based Access Control

Answer 2

我觉得没有人真正给你你真正想要的东西，这是“permitAll()”的一个用例。

当您使用特定权限限制整个班级或应用程序时可以使用它，例如： @PreAuthorize("hasAuthority('USER')")

在这里，只有标识为您定义为用户的客户端才能访问您的类的方法。

但是在您的控制器中的某个时刻，您希望某个方法是无权限的，因此您需要将 @PreAuthorize("permitAll()") 添加到您的方法中，以便它覆盖全局权限。

人们会这样做，因为首先使用最高权限锁保护所有内容，然后在网络上戳漏洞（例如，应用程序/类被锁定为 ADMIN，但大多数方法随后被授权给 USER）比其他方式更安全大约。因为如果默认情况下所有东西都是解锁的，那么在您忘记锁定控制器的那一天，您可能会遇到安全问题。