当前位置: 首页 > 面试题库 >

用于多种方法的MethodSecurityInterceptor

曹骞仕
2023-03-14
问题内容

我想使用Spring Security保护我的服务层。如文档中所述,我需要使用a
MethodSecurityInterceptor来检查是否允许方法调用。

要确定是否允许给定用户调用服务方法,对我来说影响对调用的方法的必需角色(使用MethodSecurityMetadataSource)是不够的,因为这也取决于传递给方法的参数。如文档中所建议,我可以编写一个自定义AccessDecisionVoter并通过安全对象访问参数(MethodInvocation在这种情况下)。

但是,我的授权逻辑在所有方法中都不同。例如,多个方法之间的参数可能不同,并且授权逻辑也将不同。

我看到两个选择:

  • 我可以在中使用条件逻辑AccessDecisionVoter来确定要使用的调用方法和授权逻辑,但这似乎是一个丑陋的解决方案。
  • 我可以为MethodSecurityInterceptor每种方法定义一种以确保安全。根据Spring文档,a MethodSecurityInterceptor用于保护许多方法,因此让我想到了另一种方法。

方法调用(使用AfterInvocationProvider)后的访问决策也存在相同的问题。

有哪些选择?


问题答案:

您可以基于Spring @PreAuthorize("")构造实现自己的方法安全注释。

要将有关方法的其他信息(方法参数值之外)获取到SpEL评估上下文,您可以实现自己的MethodSecurityExpressionHandler

@Service
public class MySecurityExpressionHandler extends
    DefaultMethodSecurityExpressionHandler {

    @Override
    public StandardEvaluationContext createEvaluationContextInternal(
        Authentication auth, MethodInvocation mi) {

    StandardEvaluationContext evaluationContext = super
            .createEvaluationContextInternal(auth, mi);

    SomeMethodInfoData methodInfoData = mi.getMethod(). ...;

    evaluationContext.setVariable("someData", <value computed based on method info data>);
    }

    return evaluationContext;
}

并在您的global-method-security声明中注册

<security:global-method-security
        pre-post-annotations="enabled">
        <security:expression-handler
            ref="mySecurityExpressionHandler" />
    </security:global-method-security>

现在,您可以创建自定义安全注释(如果需要,还可以在MySecurityExpressionHandler中创建额外的过程注释数据)

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#<someData>")
public @interface CustomSecurityAnnotation { ... }

例如,您可以创建一个自定义注释来检查用户角色而不会弄乱字符串:

@MyUserRoleCheck(MyAppRole.Admin)
public void someMethod()


 类似资料:
  • 问题内容: 我想使用Spring Security保护我的服务层。如文档中所述,我需要使用a 来检查是否允许方法调用。 要确定是否允许给定用户调用服务方法,对我来说影响对调用的方法的必需角色(使用)是不够的,因为这也取决于传递给方法的参数。如文档中所建议,我可以编写一个自定义并通过安全对象访问参数(在这种情况下)。 但是,我的授权逻辑在所有方法中都不同。例如,多个方法之间的参数可能不同,并且授权逻

  • 问题内容: 随处可见Java 8 lambda。当我向接口添加其他方法时,为什么这会给我一个错误: 在没有第二种方法的情况下可以正常工作:“ public int getID(String name) 问题答案: Java lambda和方法引用只能分配给 功能接口 。从Java SE 8 API中,软件包描述: 每个函数接口都有一个单一的抽象方法,称为该函数接口的函数方法,lambda表达式的参

  • 本文向大家介绍基于spring 方法级缓存的多种实现,包括了基于spring 方法级缓存的多种实现的使用技巧和注意事项,需要的朋友参考一下 方案实施 1、 spring和ehcache集成 主要获取ehcache作为操作ehcache的对象。 spring.xml中注入ehcacheManager和ehCache对象,ehcacheManager是需要加载ehcache.xml配置信息,创建ehc

  • 当我在一个方法中有多个操作时,saveUser方法不会保存用户对象名称更改。如果我在saveUser服务方法之上使用@Transactional(传播=传播。REQUIRED),它可以正常工作。当另一个类创建一个新的User对象并设置其所有值并调用createUser方法时,它可以正常工作。为什么我需要@Transactional用于saveUser方法?在什么情况下我需要包含@Transacti

  • 本文向大家介绍java命令执行jar包的多种方法(四种方法),包括了java命令执行jar包的多种方法(四种方法)的使用技巧和注意事项,需要的朋友参考一下 大家都知道一个java应用项目可以打包成一个jar,当然你必须指定一个拥有main函数的main class作为你这个jar包的程序入口。 具体的方法是修改jar包内目录META-INF下的MANIFEST.MF文件。 比如有个叫做test.j

  • 本文向大家介绍JavaScript数组去重的多种方法(四种),包括了JavaScript数组去重的多种方法(四种)的使用技巧和注意事项,需要的朋友参考一下 数组去重,一般需求是给你一个数组,调用去重方法,返回数值副本,副本中没有重复元素。一般来说,两个元素通过 === 比较返回 true 的视为相同元素,需要去重,所以,1 和 "1" 是不同的元素,1 和 new Number(1) 是不同的元素