spring – 使用@PreAuthorize Annotation阻止没有异常的方法调用

前端之家收集整理的这篇文章主要介绍了spring – 使用@PreAuthorize Annotation阻止没有异常的方法调用前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。

我们正在使用Spring Security 3.我们有一个PermissionEvaluator的自定义实现,它具有这种复杂的算法,可以在应用程序的方法级别授予或拒绝访问.为此,我们将@PreAuthorize注释添加到我们想要保护的方法(显然).一切都很好.然而,我们正在寻找的行为是,如果拒绝hasPermission调用,则只需要跳过受保护的方法调用,而不是每次发生时都会收到403错误.


你可以在这里找到对问题的不同解释; AccessDeniedException handling during methodSecurityInterception


  1. package com.myapp;
  2. public class MyMethodSecurityInterceptor extends MethodSecurityInterceptor {
  3. @Override
  4. public Object invoke(MethodInvocation mi) throws Throwable {
  5. Object result = null;
  6. try {
  7. InterceptorStatusToken token = super.beforeInvocation(mi);
  8. } catch (AccessDeniedException e) {
  9. // access denied - do not invoke the method and return null
  10. return null;
  11. }
  12. // access granted - proceed with the method invocation
  13. try {
  14. result = mi.proceed();
  15. } finally {
  16. result = super.afterInvocation(token,result);
  17. }
  18. return result;
  19. }
  20. }

设置应用程序上下文有点棘手:因为你不能使用< sec:global-mathod-security>在这种情况下,需要定义一个显式的AOP配置(并默认创建原始标签所做的大部分相应的bean结构):

  1. MetadataSource">
  2. MetadataSource">
