用于多种方法的MethodSecurityInterceptor
我想使用Spring Security保护我的服务层。如文档中所述,我需要使用a
MethodSecurityInterceptor来检查是否允许方法调用。
要确定是否允许给定用户调用服务方法,对我来说影响对调用的方法的必需角色(使用MethodSecurityMetadataSource)是不够的,因为这也取决于传递给方法的参数。如文档中所建议,我可以编写一个自定义AccessDecisionVoter并通过安全对象访问参数(MethodInvocation在这种情况下)。
但是,我的授权逻辑在所有方法中都不同。例如,多个方法之间的参数可能不同,并且授权逻辑也将不同。
我看到两个选择:
- 我可以在中使用条件逻辑
AccessDecisionVoter来确定要使用的调用方法和授权逻辑,但这似乎是一个丑陋的解决方案。 - 我可以为
MethodSecurityInterceptor每种方法定义一种以确保安全。根据Spring文档,aMethodSecurityInterceptor用于保护许多方法,因此让我想到了另一种方法。
方法调用(使用AfterInvocationProvider)后的访问决策也存在相同的问题。
有哪些选择?
问题答案:
您可以基于Spring @PreAuthorize("")构造实现自己的方法安全注释。
要将有关方法的其他信息(方法参数值之外)获取到SpEL评估上下文,您可以实现自己的MethodSecurityExpressionHandler
@Service
public class MySecurityExpressionHandler extends
DefaultMethodSecurityExpressionHandler {
@Override
public StandardEvaluationContext createEvaluationContextInternal(
Authentication auth, MethodInvocation mi) {
StandardEvaluationContext evaluationContext = super
.createEvaluationContextInternal(auth, mi);
SomeMethodInfoData methodInfoData = mi.getMethod(). ...;
evaluationContext.setVariable("someData", <value computed based on method info data>);
}
return evaluationContext;
}
并在您的global-method-security声明中注册
<security:global-method-security
pre-post-annotations="enabled">
<security:expression-handler
ref="mySecurityExpressionHandler" />
</security:global-method-security>
现在,您可以创建自定义安全注释(如果需要,还可以在MySecurityExpressionHandler中创建额外的过程注释数据)
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#<someData>")
public @interface CustomSecurityAnnotation { ... }
例如,您可以创建一个自定义注释来检查用户角色而不会弄乱字符串:
@MyUserRoleCheck(MyAppRole.Admin)
public void someMethod()
-
要决定是否允许为给定用户调用服务方法,对被调用的方法影响所需的角色(使用)对我来说是不够的,因为它还取决于传递给方法的参数。正如文档中所建议的,我可以编写一个自定义的并通过安全对象访问参数(在本例中是)。 但是,我的授权逻辑在不同的方法中是不同的。例如,多个方法之间的参数可能不同,授权逻辑也会不同。 我看到两个选择: 我可以在中使用条件逻辑来确定调用的方法和要使用的授权逻辑,但这似乎是一个丑陋的解
-
问题内容: 随处可见Java 8 lambda。当我向接口添加其他方法时,为什么这会给我一个错误: 在没有第二种方法的情况下可以正常工作:“ public int getID(String name) 问题答案: Java lambda和方法引用只能分配给 功能接口 。从Java SE 8 API中,软件包描述: 每个函数接口都有一个单一的抽象方法,称为该函数接口的函数方法,lambda表达式的参
-
本文向大家介绍基于spring 方法级缓存的多种实现,包括了基于spring 方法级缓存的多种实现的使用技巧和注意事项,需要的朋友参考一下 方案实施 1、 spring和ehcache集成 主要获取ehcache作为操作ehcache的对象。 spring.xml中注入ehcacheManager和ehCache对象,ehcacheManager是需要加载ehcache.xml配置信息,创建ehc
-
当我在一个方法中有多个操作时,saveUser方法不会保存用户对象名称更改。如果我在saveUser服务方法之上使用@Transactional(传播=传播。REQUIRED),它可以正常工作。当另一个类创建一个新的User对象并设置其所有值并调用createUser方法时,它可以正常工作。为什么我需要@Transactional用于saveUser方法?在什么情况下我需要包含@Transacti
-
本文向大家介绍java命令执行jar包的多种方法(四种方法),包括了java命令执行jar包的多种方法(四种方法)的使用技巧和注意事项,需要的朋友参考一下 大家都知道一个java应用项目可以打包成一个jar,当然你必须指定一个拥有main函数的main class作为你这个jar包的程序入口。 具体的方法是修改jar包内目录META-INF下的MANIFEST.MF文件。 比如有个叫做test.j
-
本文向大家介绍JavaScript数组去重的多种方法(四种),包括了JavaScript数组去重的多种方法(四种)的使用技巧和注意事项,需要的朋友参考一下 数组去重,一般需求是给你一个数组,调用去重方法,返回数值副本,副本中没有重复元素。一般来说,两个元素通过 === 比较返回 true 的视为相同元素,需要去重,所以,1 和 "1" 是不同的元素,1 和 new Number(1) 是不同的元素