组合configure() + hasAuthority()和PreAuthorize
组合configure() + hasAuthority()和PreAuthorize
提问于 2021-09-05 12:26:02
我这样配置我的应用程序:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.anonymous().principal("guest").authorities("GUEST_ROLE")
.and()
.authorizeRequests()
.antMatchers("/**").permitAll()
.antMatchers("/admin/**").hasAuthority("ADMIN")
.and()
.formLogin();
}我在"/admin/“中的一个控制器定义为
@PreAuthorize("@securityService.hasPermission('SALEPOINT', #id)")但是,如果用户不是“管理员”,但我的securityService.hasPermission是可以的,这是允许的。实际上,我希望检查hasAuthority(“管理”)。
回答 1
Stack Overflow用户
回答已采纳
发布于 2021-09-05 13:05:54
从配置中删除.antMatchers("/admin/**").hasAuthority("ADMIN"),因为它已被注释@PreAuthorize覆盖
然后在@PreAuthorize注释中添加以下逻辑,方法是
@PreAuthorize("hasAuthority('ADMIN') AND @securityService.hasPermission('SALEPOINT', #id)")页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/69063372
复制相关文章
相似问题
腾讯云开发者
Copyright © 2013 - 2026 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有
深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 
粤公网安备44030502008569号
腾讯云计算(北京)有限责任公司 京ICP证150476号 | 京ICP备11018762号