我想知道使用 Spring Security 应用安全约束的推荐方法是什么?我已经读到您应该保护您的服务层,这就是我所做的。现在,看着我的控制器,我有一些问题。
- 在控制器层中没有授权注释是否正确?
intercept-url控制器层是否意味着只能使用XML 应用程序上下文中的元素以粗粒度方式授权?- 如果您仅在应用程序的元素中指定
ROLE_USER最小角色。intercept-url然后你指定服务层中的某个方法需要ROLE_ADMIN,然后你可能允许控制器中的一些代码执行,因为管理约束不是控制器方法中的第一件事。但是,如果对上述问题的假设是正确的,那么这将不是问题,因为您已经在 XML 中的特定端点上设置了管理员角色。