21

我正在使用 spring 的 PreAuthorize 注释,如下所示:

@PreAuthorize("hasRole('role')");

但是,我已经将“角色”定义为另一个类的静态字符串。如果我尝试使用这个值:

@PreAuthorize("hasRole(OtherClass.ROLE)");

我收到一个错误:

org.springframework.expression.spel.SpelEvaluationException: EL1008E:(pos 14): Field or property 'OtherClass' cannot be found on object of type 'org.springframework.security.access.expression.method.MethodSecurityExpressionRoot'

有没有办法使用 PreAuthorize 注释访问这样的静态变量?

4

5 回答 5

33

尝试以下使用 Spring 表达式语言来评估类型的方法:

@PreAuthorize("hasRole(T(fully.qualified.OtherClass).ROLE)");

请务必指定完全限定的类名。

文档

于 2013-07-03T10:00:02.623 回答
9

您还可以创建具有角色的 bean 容器,例如:

@Component("R")
public final class RoleContainer {
  public static final String ROLE_A = "ROLE_A";
}

然后在控制器上你可以使用:

@PreAuthorize("hasRole(@R.ROLE_A)")
于 2020-04-07T12:49:40.297 回答
8

为了使编写没有包名的表达式成为可能:

<sec:global-method-security>
    <sec:expression-handler ref="methodSecurityExpressionHandler"/>
</sec:global-method-security>

<bean id="methodSecurityExpressionHandler" class="my.example.DefaultMethodSecurityExpressionHandler"/>

然后扩展 DefaultMethodSecurityExpressionHandler:

public class DefaultMethodSecurityExpressionHandler extends org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler {

    @Override
    public StandardEvaluationContext createEvaluationContextInternal(final Authentication auth, final MethodInvocation mi) {
        StandardEvaluationContext standardEvaluationContext = super.createEvaluationContextInternal(auth, mi);
        ((StandardTypeLocator) standardEvaluationContext.getTypeLocator()).registerImport("my.example");
        return standardEvaluationContext;
    }
}

现在创建 my.example.Roles.java :

public class Roles {

    public static final String ROLE_UNAUTHENTICATED = "ROLE_UNAUTHENTICATED";

    public static final String ROLE_AUTHENTICATED = "ROLE_AUTHENTICATED";
}

并在注释中不带包名的情况下引用它:

@PreAuthorize("hasRole(T(Roles).ROLE_AUTHENTICATED)")

代替:

@PreAuthorize("hasRole(T(my.example.Roles).ROLE_AUTHENTICATED)")

使其更具可读性恕我直言。现在还键入了角色。写:

@PreAuthorize("hasRole(T(Roles).ROLE_AUTHENTICATEDDDD)")

如果你写的话,你会得到不会出现的启动错误:

    @PreAuthorize("hasRole('ROLE_AUTHENTICATEDDDD')")
于 2014-06-17T11:16:25.597 回答
5

尝试这样的事情:

@PreAuthorize("hasRole(T(com.company.enumpackage.OtherClass).ROLE.name())");

如果您的 OtherClass 枚举被声明为公共静态,那么您需要使用 $ 符号:

@PreAuthorize("hasRole(T(com.company.ParentTopLevelClass$OtherClass).ROLE.name())");

name()以防止以后出现问题,如果toString()以后会被覆盖

于 2013-07-03T10:02:00.670 回答
5

Kevin Bowersox 接受的答案有效,但我不喜欢 T(fully.qualified.path) 的东西,所以我一直在寻找。我首先使用 James Watkins 的答案创建了一个自定义安全方法:

如何创建自定义方法以在 Spring 安全表达式语言注释中使用

但是,我使用 enums.Permissions 类作为参数类型,而不是字符串:

@Component
public class MySecurityService {
    public boolean hasPermission(enums.Permissions permission) {

        ...do some work here...

        return true;
    }
}

现在整洁的部分是,当我从注释中调用 hasPermission 时,我不必输入整个路径,但我必须将其括在单引号中:

@PreAuthorize("@mySecurityService.hasPermission('SOME_ROLE_NAME')")

因为 hasPermission 方法需要一个 Enum,它会自动找到具有该名称的 Enum 值。如果它没有找到它,你会得到一个异常:

org.springframework.expression.spel.SpelEvaluationException: Type conversion problem, cannot convert from java.lang.String to enums.Permissions

您可以将 hasPermission 重命名为 hasRole,在这种情况下,唯一的权衡是您将 T(fully.qualified.path) 换成 @mySecurityService 和额外的单引号。

不确定它是否更好,但它确实存在。由于无论如何这些都不会在编译时验证这些值,所以我的下一步是制作一个注释处理器。

我还必须感谢 krosenvold 指出 spring 可以自动转换为枚举: https ://stackoverflow.com/a/516899/618881

于 2013-07-17T21:57:42.103 回答