我學習春天的安全,但我感到困惑與它的靈活性..春季安全,方法安全,URL安全
我知道我可以在標籤 定義規則保護的URL然後我看到有一個@secure註解可以保護方法。 然後還有其他註釋來保護讀/更新域(或POJO)
因此,當我想開發一個典型的權限/角色/用戶的Web應用程序,除了創建規則來保護網址,我也必須使用@secure註釋來保護方法?
ej。
- 用戶輸入限制網址
- 應用要求登錄
- 應用程序檢查,如果該角色可以訪問的URL
- 用戶再次選擇
- 檢查「新增」選項,如果用戶有權限調用方法「addNew()」?
或者步驟4或5中的一個是多餘的。
對不起我的英語
謝謝你的回答。所以如果我保證每一個方法/類,我仍然需要保護URL?或者僅僅爲匿名/用戶/管理模式組合一個簡單規則 – Kossel
如果您的URL大致按角色分組,則URL可能更易於保護(例如,需要ROLE_ADMIN的'admin/**'URL)。但是,您經常無法以這種方式構建應用程序,角色比這更復雜,或者URL本身根本不提供太多信息(即大部分信息都在請求正文中)。但是,在URL層次上有一些不錯的主意,尤其是對於基於非Java的文件(如果您有任何文件並在Web應用程序中爲其提供服務)。 –