在任何@Controller
,@RestController
注解豆你可以使用Principal
直接作为方法的参数。
@RequestMapping("/users/{user_id}")
public String getUserInfo(@PathVariable("user_id") Long userId, Principal principal){
// test if userId is current principal or principal is an ADMIN
....
}
如果您不想在中进行安全检查,则Controller
可以使用 Spring EL 表达式。您可能已经使用了一些内置表达式,例如hasRole([role])
。
您可以编写自己的表达式。
创建一个 bean
public class UserSecurity {
public boolean hasUserId(Authentication authentication, Long userId) {
// do your check(s) here
}
}
用你的表情
http
.authorizeRequests()
.antMatchers("/user/{userId}/**")
.access("@userSecurity.hasUserId(authentication,#userId)")
...
令人高兴的是,您还可以组合以下表达式:
hasRole('admin') or @userSecurity.hasUserId(authentication,#userId)