1

我们将具有角色和权限的 Spring Security 与 Spring ACL 一起使用。前端由 Thymeleaf(版本 3)呈现。应用程序用户可以拥有具有不同权限的角色或直接访问由 ACL 设置的某些域对象。

后端部分的一切都按预期工作,但我无法在 Thymeleaf 模板中正确编写 sec:authorize,该模板会将hasAuthority()hasPermission()组合在一个表达式中。用户可以通过特定角色拥有实体级权限,也可以通过 Spring ACL 拥有实例级权限。

具体例子

我有一个显示由 ACL 保护的域对象的表。我想通过 sec:authorize 来限制某些操作,以检查当前用户是否被允许执行此操作。

 <th:block th:each="securedObject: ${securedObjects}">
        <button sec:authorize="hasAuthority('DELETE') OR hasPermission(#securedObject,'ADMINISTRATION')">Delete object</button>
 </th:block>

但是 hasPermission 评估由于某种原因在这里不起作用。我根本无法访问那里的本地secureObject。ACL 安全将其视为 null 并拒绝访问。我尝试了不同的语法 (hasPermission(${securedObject},'ADMINISTRATION') 等,但没有成功。

有趣的是,它可以正确使用 sec:authorize-acl 正确:

 <button sec:authorize-acl="${securedObject} :: 'ADMINISTRATION'">
 </button>

但是,以这种方式编写时,无法将其与实体级别的权限 (hasRole()) 结合使用,因此:

 <button sec:authorize-acl="${securedObject} :: 'ADMINISTRATION'" sec:authorize="hasRole('DELETE')">
 </button>

在这两者之间创建逻辑与,因此用户必须同时拥有 - 某些角色和 ACL 授予的访问权限。

4

1 回答 1

2

我终于能够让它工作了。可以使用以下表达式访问迭代中的域对象:

 <div sec:authorize="hasPermission(#vars.securedObject,'ADMINISTRATION')">Delete</div>

然而,权限评估者仍然拒绝访问该对象。还需要通过这种方式在 Spring Security 配置类中进行配置:

  @Configuration
  public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

        @Autowired
        private PermissionEvaluator permissionEvaluator;

        @Override
        public void configure(WebSecurity web) throws Exception {
           DefaultWebSecurityExpressionHandler handler = new 
           DefaultWebSecurityExpressionHandler();
           handler.setPermissionEvaluator(permissionEv);
           web.expressionHandler(handler);
         }

         @Override
         protected void configure(HttpSecurity http) throws Exception {
         ....
}
于 2018-06-13T21:50:40.193 回答