Sécurité des méthodes avec @Secured Annotation au printemps
Cette annotation fournit un moyen d'ajouter une configuration de sécurité aux méthodes métier.
Il utilisera des rôles pour vérifier si un utilisateur est autorisé à appeler cette méthode. L'annotation fait partie de la sécurité Spring. Donc, pour permettre son utilisation, vous avez besoin de la dépendance de sécurité Spring.
Exemple de scénario
Vous disposez d'une application qui possède un produit CRUD. Dans ce CRUD, vous souhaitez contrôler les opérations en utilisant deux rôles spécifiques.
- Utilisateur : peut créer le produit et voir le produit. Mais impossible de mettre à jour ou de supprimer un produit.
- Administrateur : qui peut effectuer toutes les opérations de l'utilisateur et peut également mettre à jour et supprimer un produit.
Vous pouvez utiliser @Secured pour gérer l'accès de ces rôles à chaque opération.
Rôles pour les opérations
Nous pouvons définir les rôles suivants dans notre exemple de scénario.
- ROLE_USER, ROLE_ADMIN
À lire :
- ROLE_USER, ROLE_ADMIN
Pour mettre à jour :
- ROLE_ADMIN
Pour supprimer :
- ROLE_ADMIN
Regardons un exemple de code et observons le comportement de l'application.
Ajout d'une dépendance de sécurité Spring
Pour travailler avec l'annotation @Secured, ajoutez la dépendance Maven pour Spring Security :
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
Annotation de méthodes avec @Secured
Nous annotons les méthodes avec @Secured définissant quels rôles peuvent accéder au comportement de la méthode.
public class Product {
private Long id;
private String name;
private BigDecimal value;
//getters and setters
}
@Service
public class ProductService {
@Secured({"ROLE_USER", "ROLE_ADMIN"})
public Product createProduct(Product product) {
// Logic for creating a product
return product;
}
@Secured({"ROLE_USER", "ROLE_ADMIN"})
public Product getProductById(Long id) {
// Logic for fetching a product
return null;
}
@Secured("ROLE_ADMIN")
public Product updateProduct(Product product) {
// Logic for updating a product
return product;
}
@Secured("ROLE_ADMIN")
public void deleteProduct(Long id) {
// Logic for deleting a product
}
}
Configuration des applications
Vous devez ajouter @EnableGlobalMethodSecurity(securedEnabled = true) pour configurer votre application Spring afin qu'elle utilise la méthode d'activation de la sécurité à l'aide de @Secured.
@SpringBootApplication
@EnableTransactionManagement
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MasteryApplication {
public static void main(String[] args) {
SpringApplication.run(MasteryApplication.class, args);
}
}
Tester le comportement
Dans notre exemple, nous allons tester le comportement à l'aide de tests, nous ajoutons donc la dépendance du test Spring Boot.
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-test</artifactId>
<scope>test</scope>
</dependency>
Ensuite, nous créons des tests pour valider si vous utilisez un utilisateur fictif et lui attribuer des rôles spécifiques, nous pouvons tester les utilisateurs dans chaque rôle et comment notre application se comporte. Ce faisant, nous pouvons garantir que seuls les rôles appropriés peuvent effectuer les actions autorisées.
@SpringBootTest
class ProductServiceTests {
@Autowired
private ProductService productService;
@Test
@WithMockUser(roles = "USER")
void testCreateProductAsUser() {
Product product = new Product();
assertDoesNotThrow(() -> productService.createProduct(product));
}
@Test
@WithMockUser(roles = "ADMIN")
void testCreateProductAsAdmin() {
Product product = new Product();
assertDoesNotThrow(() -> productService.createProduct(product));
}
@Test
@WithAnonymousUser
void testCreateProductAsAnonymous() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.createProduct(product));
}
@Test
@WithMockUser(roles = "USER")
void testGetProductByIdAsUser() {
assertDoesNotThrow(() -> productService.getProductById(1L)); // Assuming product with ID 1 exists
}
@Test
@WithMockUser(roles = "ADMIN")
void testGetProductByIdAsAdmin() {
assertDoesNotThrow(() -> productService.getProductById(1L));
}
@Test
@WithAnonymousUser
void testGetProductByIdAsAnonymous() {
assertThrows(AccessDeniedException.class, () -> productService.getProductById(1L));
}
@Test
@WithMockUser(roles = "USER")
void testUpdateProductAsUser() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.updateProduct(product));
}
@Test
@WithMockUser(roles = "ADMIN")
void testUpdateProductAsAdmin() {
Product product = new Product();
assertDoesNotThrow(() -> productService.updateProduct(product));
}
@Test
@WithAnonymousUser
void testUpdateProductAsAnonymous() {
Product product = new Product();
assertThrows(AccessDeniedException.class, () -> productService.updateProduct(product));
}
@Test
@WithMockUser(roles = "USER")
void testDeleteProductAsUser() {
assertThrows(AccessDeniedException.class, () -> productService.deleteProduct(1L));
}
@Test
@WithMockUser(roles = "ADMIN")
void testDeleteProductAsAdmin() {
assertDoesNotThrow(() -> productService.deleteProduct(1L));
}
@Test
@WithAnonymousUser
void testDeleteProductAsAnonymous() {
assertThrows(AccessDeniedException.class, () -> productService.deleteProduct(1L));
}
}
Ça y est, vous pouvez désormais gérer l'accès des utilisateurs à l'application à l'aide de rôles avec l'annotation @Secured.
Si vous aimez ce sujet, assurez-vous de me suivre. Dans les prochains jours, j'expliquerai davantage les annotations Spring ! Restez à l'écoute !
Suivez-moi !
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!
Outils d'IA chauds
Undresser.AI Undress
Application basée sur l'IA pour créer des photos de nu réalistes
AI Clothes Remover
Outil d'IA en ligne pour supprimer les vêtements des photos.
Undress AI Tool
Images de déshabillage gratuites
Clothoff.io
Dissolvant de vêtements AI
Video Face Swap
Échangez les visages dans n'importe quelle vidéo sans effort grâce à notre outil d'échange de visage AI entièrement gratuit !
Article chaud
Outils chauds
Bloc-notes++7.3.1
Éditeur de code facile à utiliser et gratuit
SublimeText3 version chinoise
Version chinoise, très simple à utiliser
Envoyer Studio 13.0.1
Puissant environnement de développement intégré PHP
Dreamweaver CS6
Outils de développement Web visuel
SublimeText3 version Mac
Logiciel d'édition de code au niveau de Dieu (SublimeText3)
Sujets chauds
1673
14
1429
52
1333
25
1278
29
1257
24
Le logiciel de sécurité de l'entreprise entraîne-t-il l'exécution de l'application? Comment dépanner et le résoudre?
Apr 19, 2025 pm 04:51 PM
Dépannage et solutions au logiciel de sécurité de l'entreprise qui fait que certaines applications ne fonctionnent pas correctement. De nombreuses entreprises déploieront des logiciels de sécurité afin d'assurer la sécurité des réseaux internes. ...
Comment convertir les noms en nombres pour implémenter le tri et maintenir la cohérence en groupes?
Apr 19, 2025 pm 11:30 PM
Solutions pour convertir les noms en nombres pour implémenter le tri dans de nombreux scénarios d'applications, les utilisateurs peuvent avoir besoin de trier en groupe, en particulier en un ...
Comment simplifier les problèmes de cartographie des champs dans l'amarrage du système à l'aide de mapstruct?
Apr 19, 2025 pm 06:21 PM
Le traitement de la cartographie des champs dans l'amarrage du système rencontre souvent un problème difficile lors de l'exécution d'amarrage du système: comment cartographier efficacement les champs d'interface du système a ...
Comment Intellij Idea identifie-t-elle le numéro de port d'un projet de démarrage de printemps sans publier un journal?
Apr 19, 2025 pm 11:45 PM
Commencez le printemps à l'aide de la version IntelliJideaultimate ...
Comment obtenir élégamment des noms de variables de classe d'entité pour créer des conditions de requête de base de données?
Apr 19, 2025 pm 11:42 PM
Lorsque vous utilisez MyBatis-Plus ou d'autres cadres ORM pour les opérations de base de données, il est souvent nécessaire de construire des conditions de requête en fonction du nom d'attribut de la classe d'entité. Si vous manuellement à chaque fois ...
Comment convertir en toute sécurité les objets Java en tableaux?
Apr 19, 2025 pm 11:33 PM
Conversion des objets et des tableaux Java: Discussion approfondie des risques et des méthodes correctes de la conversion de type de distribution De nombreux débutants Java rencontreront la conversion d'un objet en un tableau ...
Plateforme de commerce électronique SKU et conception de la base de données SPU: comment prendre en compte à la fois les attributs définis par l'utilisateur et les produits sans attribution?
Apr 19, 2025 pm 11:27 PM
Explication détaillée de la conception des tables SKU et SPU sur les plates-formes de commerce électronique Cet article discutera des problèmes de conception de la base de données de SKU et SPU dans les plateformes de commerce électronique, en particulier comment gérer les ventes définies par l'utilisateur ...
Comment utiliser la solution Redis Cache pour réaliser efficacement les exigences de la liste de classement des produits?
Apr 19, 2025 pm 11:36 PM
Comment la solution de mise en cache Redis réalise-t-elle les exigences de la liste de classement des produits? Pendant le processus de développement, nous devons souvent faire face aux exigences des classements, comme l'affichage d'un ...
