在Spring注释控制器中执行自定义授权

时间:2013-01-30 13:49:12

标签: spring security rest spring-mvc authorization

我开始使用Spring注释控制器构建REST API。

我的问题非常简单:如何在公共场所而不是API中执行身份验证/授权?

作为专家C#开发人员,我通常会为我的控制器创建一个自定义FilterAttribute,以便实现任何所需的身份验证代码。

我不打算使用@Secured属性,因为我处理基于自定义HTTP标头的自定义REST授权。我已经理解@Secured可以使用预定义的角色,或者我可能不太了解它的用法。

Spring是否提供注释来对HttpRequest上的控制器进行早期过滤?

1 个答案:

答案 0 :(得分:1)

Spring Security提供了一个基于过滤器的Web容器级别的身份验证和授权插件。但是,您也可以将安全注释应用于控制器。 。 。在幕后,这使用面向方面的编程来模块化安全问题。看看Spring Security和AOP。

一旦您对AOP方面有所了解,您就可以自定义授权 - 基于角色,时间,等等 - 这可以通过自定义注释来实现。