是否可以为 Spring @MVC 控制器应用方法级安全性？

Question

我已经应用了下面的代码，但它不起作用，任何人都可以给我一些解决方案。谢谢。

控制器方法：

@Controller
public class UserController {
@Secured("ROLE_USER")
@RequestMapping(value="user/{userName}", method=RequestMethod.GET)
    public @ResponseBody User getAvailability(@PathVariable String userName, HttpServletResponse response) { }
}

applicationContext-security.xml相关配置：

    <global-method-security secured-annotations="enabled" />

    <http>
        <intercept-url pattern="/user" requires-channel="https"/>
        <http-basic/>
    </http>

    <authentication-manager alias="authenticationManager">
        <authentication-provider>
            <user-service>
                <user password="password" name="manager" authorities="ROLE_MANAGER"/>
                <user password="password" name="user" authorities="ROLE_USER"/>
            </user-service>
        </authentication-provider>
    </authentication-manager>

Answer 1

您想使用<intercept_url> 标记应用安全性。

例如：

    <intercept-url pattern="/user" requires-channel="https" access="ROLE_USER"/>

Answer 2

如果你想使用基于 url 的访问控制，你需要添加 /**

<intercept-url pattern="/user/**" requires-channel="https"/>

如果你想要方法级别的安全性，那么你需要

<context:component-scan base-package="com.yourcompany.etc"/>

<security:global-method-security secured-annotations="enabled"/>

同样在您的 web.xml 中，您需要将 spring 安全配置作为参数添加到您的 servlet

<servlet>
    <servlet-name>myservlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>WEB-INF/applicationContext-security.xml</param-value>
    </init-param>
    <load-on-startup>2</load-on-startup>
</servlet>