我的问题是具有弹簧安全性的自定义注释的副本,但没有得到答复,我相信应该有一个简单的解决方案。
基本上不是这样做:
@PreAuthorize("hasPermission(T(fully.qualified.Someclass).WHATEVER, T(fully.qualified.Permission).READ")
我想要做:
@PreAuthorize(Someclass.WHATEVER, Permission.READ)
或者可能是一些自定义注释,可以很容易地与弹簧安全连接起来
这对我来说似乎更干净,如果可以的话,我希望能够做到。
实际上,您可以实现自定义的强类型安全注释,尽管这相当麻烦。声明你的注释
enum Permission {
USER_LIST,
USER_EDIT,
USER_ADD,
USER_ROLE_EDIT
}
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@interface Permissions {
Permission[] value();
}
org.springframework.security.access.ConfigAttribute声明安全管道使用的自定义实现
class SecurityAttribute implements ConfigAttribute {
private final List<Permission> permissions;
public SecurityAttribute(List<Permission> permissions) {
this.permissions = permissions;
}
@Override
public String getAttribute() {
return permissions.stream().map(p -> p.name()).collect(Collectors.joining(","));
}
}
声明自定义实现 以从注解org.springframework.security.access.method.MethodSecurityMetadataSource创建实例SecurityAttribute
class SecurityMetadataSource extends AbstractMethodSecurityMetadataSource {
@Override
public Collection<ConfigAttribute> getAttributes(Method method, Class<?> targetClass) {
//consult https://github.com/spring-projects/spring-security/blob/master/core/src/main/java/org/springframework/security/access/prepost/PrePostAnnotationSecurityMetadataSource.java
//to implement findAnnotation
Permissions annotation = findAnnotation(method, targetClass, Permissions.class);
if (annotation != null) {
return Collections.singletonList(new SecurityAttribute(asList(annotation.value())));
}
return Collections.emptyList();
}
@Override
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
}
最后声明自定义实现org.springframework.security.access.AccessDecisionVoter
public class PermissionVoter implements AccessDecisionVoter<MethodInvocation> {
@Override
public boolean supports(ConfigAttribute attribute) {
return attribute instanceof SecurityAttribute;
}
@Override
public boolean supports(Class<?> clazz) {
return MethodInvocation.class.isAssignableFrom(clazz);
}
@Override
public int vote(Authentication authentication, MethodInvocation object, Collection<ConfigAttribute> attributes) {
Optional<SecurityAttribute> securityAttribute = attributes.stream()
.filter(attr -> attr instanceof SecurityAttribute).map(SecurityAttribute.class::cast).findFirst();
if(!securityAttribute.isPresent()){
return AccessDecisionVoter.ACCESS_ABSTAIN;
}
//authorize your principal from authentication object
//against permissions and return ACCESS_GRANTED or ACCESS_DENIED
}
}
现在把它们放在你的MethodSecurityConfig
@Configuration
@EnableGlobalMethodSecurity
class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityMetadataSource customMethodSecurityMetadataSource() {
return new ScpSecurityMetadataSource();
}
@Override
protected AccessDecisionManager accessDecisionManager() {
return new AffirmativeBased(Collections.singletonList(new PermissionVoter()));
}
}
面对同样的问题,我最终得到了一个混合解决方案。我正在使用 Spring-El 和自定义 bean 来提供我自己的hasPermission()接受枚举的方法。鉴于 Spring 进行了自动string->enum转换,在运行时,如果字符串中存在拼写错误,我将得到一个特定枚举不存在的运行时异常。不是理想的解决方案(宁愿有一些在编译时失败的东西),而是一个可以接受的折衷方案。它给了我一些半安全性。
@Component("securityService")
public class SecurityService {
public boolean hasPermission( Permission...permissions){
// loop over each submitted role and validate the user has at least one
Collection<? extends GrantedAuthority> userAuthorities = SecurityContextHolder.getContext().getAuthentication().getAuthorities();
for( Permission permission : permissions){
if( userAuthorities.contains( new SimpleGrantedAuthority(permission.name())))
return true;
}
// no matching role found
return false;
}
}
使用如下:
@PreAuthorize("@securityService.hasPermission({'USER_ADD'})")
public User addUser(User user){
// create the user
return userRepository.save( user );
}
其中 Permission 只是一个普通的枚举定义:
public enum Permission {
USER_LIST,
USER_EDIT,
USER_ADD,
USER_ROLE_EDIT
}
希望这可以帮助其他人在未来。
您可以像这样创建静态注释:
@ReadPermission
通过将@PreAuthorize注释移动到@ReadPermission定义:
@Inherited
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("hasRole(T(fully.qualified.Permission).READ.roleName())")
public @interface ReadPermission {
}
这样做的好处是,您可以在一个地方更改 Spring SPEL 表达式,而不是在每个方法上修改它。
另一个优点是,您可以在类级别使用此注释 - 然后每个方法都将使用此注释进行保护。它对 AdminControllers 等很有用。
我是这样做的:
1 - 像这样定义引用公共最终静态字符串“VALUE”的枚举
public enum MyEnum {
ENUM_A(Names.ENUM_A);
private String value;
private MyEnum (String value) {
this.value = value;
}
public static class Names {
public final static String ENUM_A = "ENUM_A";
}
}
2 - @PreAuthorize 中的 Concat MyEnum 值
@PreAuthorize("hasPermission('myDomain', '"+ MyEnum.Names.ENUM_A+"')")
我创建了自己的注释,它在参数中获取枚举。在实现注解时,我创建了一个方法来获取注解中指定的所有角色并验证当前用户是否至少拥有其中一个。如果没有一个角色匹配,程序将抛出异常。
枚举:
public enum MyRoles {
ADMIN("ROLE_ADMIN"),
USER("ROLE_USER"),
GUEST("ROLE_GUEST");
private String name;
private MyRoles(String name) {
this.name = name;
}
}
注释接口:
@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.METHOD})
public @interface AllowedRoles {
MyRoles[] value();
}
注解的实现:
@Aspect
@Component
public class AllowedRolesAspect {
@Around("@annotation(com.myproject.annotations.AllowedRoles)")
public Object doSomething(ProceedingJoinPoint jp) throws Throwable {
Set<MyRoles> roles = Arrays.stream(((MethodSignature) jp.getSignature()).getMethod()
.getAnnotation(AllowedRoles.class).value()).collect(Collectors.toSet());
HttpServletRequest httpServletRequest = getRequest();
for(MyRoles role : roles){
if(httpServletRequest.isUserInRole(role)){
return jp.proceed();
}
}
throw new AccessDeniedException("");
}
private HttpServletRequest getRequest() {
ServletRequestAttributes servletRequestAttributes =
(ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
return servletRequestAttributes.getRequest();
}
}
用法:
@AllowedRoles({MyRoles.ADMIN, MyRoles.USER})
@GetMapping("/myrequest/{id}")
public MyResponse getResponse(
@PathVariable Long id
) {
/*Do something...*/
}