javascript-Spring对@PreAuthorize的安全性使用
最近我一直在研究一个需求,在这个需求中,某些UI元素应该只对具有特定角色的用户可见(比如角色是XXX)
我用过:
<sec:authorize access="hasRole('XXX')"> <input type="button"/></sec:authorize>
这很好用
但我只是想了解我是否需要在java代码中添加下面的行?如果是,为什么
@PreAuthorize("hasRole('XXX')")
# 1 楼答案
通常情况下,这要视情况而定
如果您正在使用
Spring MVC
构建/维护一个经典的MVC应用程序,并且所有的RequestMapping
都指向一个(JSP)视图(因此由InternalResourceViewResolver
解析,通常由JspServlet
呈现),那么您不需要@PreAuthorize
但是,如果您要公开至少一个端点,例如JSON/XML,那么如果需要,您需要在add
@PreAuthorize
处添加它简单地说,如果您的处理程序方法返回一个由^{} 解析的值,则使用适当的标记为{a2}、^{} 或^{} ,否则考虑使用^ {CD5>}。