spring 安全框架中不使用 ROLE_ 前缀的影响
Impact of not using ROLE_ prefix in spring security framework
如果我在@Secured Annotation 中使用没有"ROLE_" 前缀的行,这里有什么影响?假设 spring 安全 RoleVoter 期望角色以 "ROLE_" 为前缀。
- @Secured({"ADMIN"})
- @Secured({"ROLE_ADMIN"})
public void sampleMethod(SampleClass sampleObject) {
操作;
}
除非您将前缀设置为空,否则不会评估第一个选项。
RoleVoter.setRolePrefix("");
因此该方法将不安全。正如您提到的,默认前缀是 "ROLE_" for RoleVoter.
如果我在@Secured Annotation 中使用没有"ROLE_" 前缀的行,这里有什么影响?假设 spring 安全 RoleVoter 期望角色以 "ROLE_" 为前缀。
- @Secured({"ADMIN"})
- @Secured({"ROLE_ADMIN"}) public void sampleMethod(SampleClass sampleObject) { 操作; }
除非您将前缀设置为空,否则不会评估第一个选项。
RoleVoter.setRolePrefix("");
因此该方法将不安全。正如您提到的,默认前缀是 "ROLE_" for RoleVoter.