Я учусь весной безопасности, но я запутаться с его гибкость ..пружина безопасности, метод безопасный и безопасный URL
Я знаю, что могу обеспечить URLs путем определения правил в теге тогда я видел есть @secure аннотация, которая может защищать методы. , а затем есть другие аннотации для обеспечения чтения/обновления доменами (или POJO)
поэтому, когда я хочу создать типичное веб-приложение разрешения/роли/пользователей, помимо создания правил для защиты URL-адресов, мне также нужно использовать аннотацию @secure для защиты методов?
ej.
- пользователь вводит по Ограниченной URL-адрес
- приложение попросит войти в систему проверки
- приложений, если роль может получить доступ к URL
- пользователь выбрать «добавить новый» вариант
- пересчитайте, если пользователь имеет разрешение вызвать метод «addNew()» ??
или один из этапов 4 или 5 является избыточным.
sorry about my English
Благодарю вас за ответ.поэтому, если я защищаю каждый mothod/class, мне еще нужно защищать URL-адреса? или, может быть, комбинировать простое правило для шаблона anonymous/user/admin. – Kossel
Если ваши URL-адреса сгруппированы примерно по ролям, вероятно, было бы проще защитить их по URL-адресу (например, URL-адрес «admin/**», требующий ROLE_ADMIN). Но часто вы либо не можете структурировать свое приложение таким образом, роли более сложны, чем те, или сами URL-адреса вообще не предоставляют много информации (т. Е. Большая часть информации находится в теле запроса). Но неплохо иметь некоторые уловки на уровне URL, особенно для ваших файлов, не связанных с Java (если у вас есть и обслуживают их в веб-приложении). –