spring @Preauthorize 中的自定义方法

Posted

技术标签:

【中文标题】spring @Preauthorize 中的自定义方法【英文标题】:Custom method within spring @Preauthorize 【发布时间】:2014-09-13 18:32:16 【问题描述】:

我正在实现一个应用程序,该应用程序具有一些完全基于权限的访问方法。权限是使用 Spring 实现的。使用方法顶部的 @PreAuthorize 注释添加权限。问题是我想在注释中有完全自定义的方法(EL)。 所以我想实现的是例如:

@PreAuthorize("customAllowThis()")
public void foo()  

我认为有两种方法:

方法一: 尝试覆盖 SecurityExpressionRoot 并在那里添加我的自定义方法。我会在不同的方法上使用多个授权服务,所以把所有特定的方法都放到 SecurityExpressionRoot 会很混乱。

方法 2: 创建服务并将方法放在那里:

@Component
public class AuthorisationService 
    public boolean allowThis() 
         return true;
    

然后做一些类似的事情:

@PreAuthorize("@authorisationService.customAllowThis()")
public void foo()  

我更喜欢方法 2,尽管在我看来它会绕过 Spring 的“自然顺序”。在如何处理这种情况方面有什么好的/最佳实践吗?关键是我不想将所有特定方法都放在一个类中,但另一方面我不想做一些“肮脏”的事情。

【问题讨论】:

查看***.com/questions/6632982/… 嘿,我见过这个,但是有人说这在 Spring 3.x 中是不可能的,还有另一条评论说这家伙就是这样做的。我有点困惑。! 你试试看?还是您只要求最佳实践? 只是寻求最佳实践.. 另见:***.com/questions/17803406/… 【参考方案1】:

为此,您可以执行以下操作:

    创建一个接受一系列允许角色的自定义注释,如下所示:

    @Allows(RoleEnum.ROLE1, RoleEnum.ROLE2 )

    使用 SPeL,我们可以调用自定义方法来检查用户是否具有这些角色,如下所示:

    @PreAuthorize("myServiceClass.hasRoles(#roles)")

    在服务类中,您可以根据 OAuth 数据库中的角色验证用户角色,并在服务中执行任何业务逻辑。

【讨论】:

以上是关于spring @Preauthorize 中的自定义方法的主要内容,如果未能解决你的问题,请参考以下文章

spring security 3 中的@Secured 和@PreAuthorize 有啥区别?

Spring @Secured 和 @PreAuthorize 不能正常工作(总是状态 403)

@PreAuthorize with Bean in expression (Spring Boot)

Spring自定义授权无法使用@PreAuthorize

Spring Security @PreAuthorize 拦截无效

Spring Security SAML 扩展和@PreAuthorize