4

我的项目是 iam spring security 3.1.3 和 mvc 3.2

我也想允许路径中的用户 ID 中的 url 与主要用户 ID 匹配

    <security:intercept-url pattern="/user/{id}/edit" access="#id == principal.userId"/>

http use-expressions 它设置为 true 并且当 try principal.userId == 1 时它可以工作,但我需要使用从 url 中提取的值。

我已经尝试了所有可能的组合。

4

2 回答 2

6

这是不可能的。但还有另一种方式。您可以定义自己的 Web 表达式,负责从 URL 中提取 id 参数。它可能看起来像这样:

<security:intercept-url pattern="/user/{id}/edit" access="getIdUrlPathParameter() == principal.userId"/>

为此,您需要:
1. 添加扩展WebSecurityExpressionRoot
的 CustomWebSecurityExpressionRoot 2. 添加 getIdUrlPathParameter() 方法。它将有权访问 HttpServletRequest 对象。
3. 定义扩展DefaultWebSecurityExpressionHandler的 CustomWebSecurityExpressionHandler 。覆盖 createSecurityExpressionRoot 方法 abd 在此处使用您的 CustomWebSecurityExpressionRoot。
4. 定义自定义访问决策管理器(下面的 xml) 5.通过 access-decision-manager-ref 属性将
其注入您的http元素

<security:http access-decision-manager-ref="customAccessDecisionManagerBean" >
    <security:intercept-url pattern="/user/{id}/edit" access="getIdUrlPathParameter() == principal.userId"/>
</security:http>
<bean id="customWebSecurityExpressionHandler" class="com.domain.security.CustomWebSecurityExpressionHandler"/>
<bean id="customAccessDecisionManagerBean" class="org.springframework.security.access.vote.AffirmativeBased">
    <property name="decisionVoters">
        <list>
            <bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
                <property name="expressionHandler" ref="customWebSecurityExpressionHandler" />
            </bean>
        </list>
    </property>
</bean>
于 2013-01-07T15:38:49.813 回答
0

Spring Security无法做到这一点。

于 2013-01-06T22:03:57.467 回答