1
我一個控制器,允許更新用戶信息春季安全允許用戶只重置其密碼
@RequestMapping(value = "user/{id}", method = RequestMethod.PUT)
@PreAuthorize("hasRole('ADMIN')")
public ResponseEntity<User> updateUser(@PathVariable("id") long id, @RequestBody User user) {
這樣,只有用戶具有角色admin更新的用戶。我想修改secutiry這樣:
- 沒有作用管理員的用戶只能更新個人信息
- 管理員可以更新每個用戶
還有就是要實現這個用彈簧的方式安全標籤?
感謝 Esoni
'@PreAuthorize('hasRole('ADMIN')or#user.name == authority.name)''沿着這些行。 –