@PreAuthorizeはどのように役割をチェックしますか？

Question

私はいくつかのREST APIを持っています。

私は、特定の役割だけの機能を許可するために、それらのすべての上にセキュリティを置いておきたいと思います。

@EnableGlobalMethodSecurity（prePostEnabled = true）を設定クラスに追加しました。

私は役割を格納するテーブルを持つDBを持っています。

@RequestMapping(path = "/error", method = RequestMethod.GET) 
@PreAuthorize("hasRole('ROLE_ADMIN')") 
public ResponseEntity<ResponseWrapper> getError(... 


INSERT INTO table USER_ROLE VALUES ('ADMIN','PASSWORD','ROLE_ADMIN'); 

メソッド "hasRole"はどのようにしてUSER_ROLEテーブルにクエリできますか？ そのテーブルと通信するためにSpringに与えなければならない設定はありますか？

Answer 1

あなたの設定に以下を追加し確認してください：

注釈のスタイル：

@EnableGlobalMethodSecurity(prePostEnabled = true) 

XMLスタイル：

<global-method-security pre-post-annotations="enabled"/> 

It's all in the spring docs。

@Preと@Post注釈を使用するには、まずプロジェクトで春のセキュリティを設定する必要があります。ユーザーの役割は、標準実装の認証時に読み込まれます。

アノテーションをチェックするとき（デフォルトでは）テーブルをチェックしないで、割り当てられたGrantedAuthority（ロール）のリストのメモリ内のPrincipal（ユーザ）オブジェクトをチェックするだけです。

詳しく見...

が、これはUserDetials（Principal）のインスタンスを返す、UserDetailsServiceインターフェースを見てみましょう。これがデータベースからあなたの「ユーザー」を取得する場所です。

UserDetialsインターフェイスはgetAuthorities()というメソッドを定義し、Collection<? extends GrantedAuthority>（本質的にはRoleテーブル）を返します。これが「ロール」によってメモリに格納され、後で@Preおよび@Post注釈でチェックすることができます。

上記で説明した実装はhereです。