@Secured, @PreAuthorize, @PostAuthorize

활성화 방법

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {...}

@EnableGlobalMethodSecurity 어노테이션의 속성으로 securedEnabled 를 true @Secured 어노테이션을, prePostEnabled를 true @PreAuthorize와 @PostAuthorize를 사용할 수 있음.

 

차이점

@Secured는 표현식 사용할 수 없고

@PreAuthroize, @PostAuthorize는 표현식 사용을 사용하여 디테일한 설정이 가능

 

표현식 종류

• hasRole([role]) : 현재 사용자의 권한이 파라미터의 권한과 동일한 경우 true
• hasAnyRole([role1,role2]) : 현재 사용자의 권한디 파라미터의 권한 중 일치하는 것이 있는 경우 true
• principal : 사용자를 증명하는 주요객체(User)를 직접 접근할 수 있다.
• authentication : SecurityContext에 있는 authentication 객체에 접근 할 수 있다.
• permitAll : 모든 접근 허용
• denyAll : 모든 접근 비허용
• isAnonymous() : 현재 사용자가 익명(비로그인)인 상태인 경우 true
• isRememberMe() : 현재 사용자가 RememberMe 사용자라면 true
• isAuthenticated() : 현재 사용자가 익명이 아니라면 (로그인 상태라면) true
• isFullyAuthenticated() : 현재 사용자가 익명이거나 RememberMe 사용자가 아니라면 true

@PostAuthorize("isAuthenticated() and (( returnObject.name == principal.name ) or hasRole('ROLE_ADMIN'))")
@RequestMapping( value = "/{seq}", method = RequestMethod.GET )
public User getuser( @PathVariable("seq") long seq ){
    return userService.findOne(seq);
}

@PostAuthorize는 returnObject 예약어로 메서드의 리턴 객체에 접근할수 있다.

@PreAuthorize("#contact.name == authentication.name")
public void doSomething(Contact contact);

@PreAuthorize는 파라미터에 접근하기 위해 '#파라미터명'을 사용하여 객체에 접근할수 있다.