156 votes

Jerome VDL avatar

Quelle est la différence entre @Secured et @PreAuthorize dans Spring Security 3 ?

Demandé el 24 de Septembre, 2010
Quand la question a-t-elle été
12621 affichage
Nombre de visites la question a
5 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Je ne vois pas très bien quelle est la différence en matière de sécurité du ressort entre :

 @PreAuthorize("hasRole('ROLE_USER')")
 public void create(Contact contact)

Et

@Secured("ROLE_USER")
public void create(Contact contact)

Je comprends que PreAuthorize peut fonctionner avec spring el mais dans mon exemple, y a-t-il une réelle différence ?

Demandé el 24 de Septembre, 2010 par Jerome VDL

Réponses

Trop de publicités?

174voto

axtavt avatar
axtavt Points 126632

La vraie différence est que @PreAuthorize peut travailler avec Langage d'expression de printemps (SpEL) . Vous pouvez :

  • Accéder aux méthodes et aux propriétés de SecurityExpressionRoot .

  • Accéder aux arguments de la méthode (nécessite une compilation avec debug info ou personnalisée) ParameterNameDiscoverer ):

    @PreAuthorize("#contact.name == principal.name")
public void doSomething(Contact contact)

  • (Fonctionnalité avancée) Ajoutez vos propres méthodes (surchargez MethodSecurityExpressionHandler et le définir comme <global-method-security><expression-handler ... /></...> ).

Répondu el 24 de Septembre, 2010 par axtavt (126632 Points )

0 votes

Avatar de Alfonso Nishikawa

Je ne connaissais pas, mais ça a l'air génial ! :D

Commenté el 4 de Mars, 2016 par Alfonso Nishikawa

56voto

arnabmitra avatar
arnabmitra Points 133

Si vous vouliez faire quelque chose comme accéder à la méthode uniquement si l'utilisateur a le Rôle1 y Role2, vous devez alors utiliser @PreAuthorize.

@PreAuthorize("hasRole('ROLE_role1') and hasRole('ROLE_role2')")

Utilisation de

@Secured({"role1", "role2"}) // is treated as an OR
Répondu el 18 de Décembre, 2012 par arnabmitra (133 Points )

43voto

Dennis avatar
Dennis Points 141

Tout simplement, @PreAuthorize est plus récent que @Secured .

Je dis donc qu'il est préférable d'utiliser @PreAuthorize car il est "basé sur des expressions" et vous pouvez utiliser des expressions comme hasRole, hasAnyRole, permitAll, etc.

Pour en savoir plus sur les expressions, consultez ces exemples d'expressions .

Répondu el 6 de Mars, 2012 par Dennis (141 Points )

13voto

becher henchiri avatar
becher henchiri Points 372

@PreAuthorize est différent, il est plus puissant que @Secured .

  • Les plus âgés @Secured ne permettait pas l'utilisation d'expressions.

  • À partir de Spring Security 3, les annotations plus souples @PreAuthorize y @PostAuthorize (ainsi que @PreFilter et @PostFilter) sont préférables, car ils supportent Spring Expression Language (SpEL) et fournissent un contrôle d'accès basé sur les expressions.

  • @Secured("ROLE_ADMIN") est identique à l'annotation @PreAuthorize ("hasRole('ROLE_ADMIN')") .

  • El @Secured({"ROLE_USER","ROLE_ADMIN") est considéré comme ROLE_USER OU ROLE_ADMIN.

donc vous ne pouvez pas exprimer la condition ET en utilisant

@Secured . Vous pouvez définir la même chose avec @PreAuthorize("hasRole('ADMIN') OR hasRole('USER')") qui est plus facile à comprendre. Vous pouvez exprimer AND, OR, ou NOT( !) también.

@PreAuthorize ("!isAnonymous() AND hasRole( 'ADMIN')")

Répondu el 3 de Octobre, 2017 par becher henchiri (372 Points )

8voto

Joby Wilson Mathews avatar
Joby Wilson Mathews Points 2706 
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
|                                               |                         @Secured                         |                         @PreAuthorize                           |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Spring EL expressions                         | Does'nt supports.                                        | Supports                                                        |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Multiple roles conjunctions with AND operator | Does'nt supports.(If there are multiple roles defined    | Supports                                                        |
|                                               |they will be automatically combined with OR operator)     |                                                                 |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| To enable annotation                          | Add following line to spring-security.xml                | Add following line to spring-security.xml                       |
|                                               | <global-method-security secured-annotations="enabled" /> | <global-method-security pre-post-annotations="enabled"/>        |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
| Example                                       | @Secured({ROLE_ADMIN , ROLE_USER})                       | @PreAuthorize("hasRole('ROLE_USER') and hasRole('ROLE_ADMIN')") |
|                                               | public void addUser(UserInfo user){...}                  | public void addUser(UserInfo user){...}                         |
+-----------------------------------------------+----------------------------------------------------------+-----------------------------------------------------------------+
Répondu el 21 de Mai, 2018 par Joby Wilson Mathews (2706 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X