Spring 对方法的安全注解是如何工作的？

Question

考虑这段代码：

import java.util.Collections;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.security.core.userdetails.User;

public class SecureStuff {
    @PreAuthorize("#user.password == #oldPassword")
    public static void changePassword(User user, String oldPassword, String newPassword){
       System.out.print("Changing passwords ...");
    }

    public static void main(String[] args) {
        User joe = new User("Joe", "HansWurst", true, true, true, true, Collections.EMPTY_LIST);
        changePassword(joe, "HansWurst", "TeeWurst");
    }

}

我在 STS（SpringSource 工具套件）中运行了代码，它按预期工作。 （它打印了"Changing passwords ..."。） 然后我将密码重命名为其他内容，希望方法调用现在失败。

我已经将<global-method-security pre-post-annotations="enabled"/> 行添加到我的applicationContext-security.xml 配置文件中。

我在这里错过了什么？

Answer 1

1. 这些注释不适用于 static 方法
2. 要使这些注释起作用，您需要将您的对象声明为应用程序上下文的一个 bean（带有<global-method-security> 元素的那个），并在从上下文中获取的实例上调用带注释的方法。

基本上，这些注解基于 Spring AOP 支持并继承了 proxy-based AOP 的所有限制。为了更好地理解，您可以查看Spring AOP documentation。

Answer 2

@PreAuthorize 确实适用于静态方法，但您需要将 global-method-security 的模式设置为 aspectj

    <global-method-security pre-post-annotations="enabled" mode="aspectj"/>