6

我正在使用 Spring 5.1 和 Spring security 4.2。我使用 XML 文件配置了访问规则。我的问题是,如何根据 Spring 安全上下文中的属性编写拦截规则(对 URL 的访问控制)?也就是说,我有一个变量

productList

在 java.util.ArrayList 类型的安全上下文中。如果此列表为空或为空,我想限制对 URL 的访问。我怎么写这个?我有

<http name="defaultSecurity" security-context-repository-ref="myContextRepository"
    auto-config="false" use-expressions="true" authentication-manager-ref="authenticationManager"
    entry-point-ref="loginUrlAuthenticationEntryPoint">
    ...
    <intercept-url pattern="/myurl" access="length(principal.productList) > 0" />
    ...
</http>

但当然,以上

length(principal.productList) > 0

表达完全错误。有正确的写法吗?

4

2 回答 2

2

与安全相关的表达式在 Spring 中的操作集非常有限。您可以通过提供org.springframework.security.access.expression.SecurityExpressionOperations接口的自定义实现来扩展此集合。以下是如何执行此操作的简要指南:

  1. 创建包装器SecurityExpressionOperations并实现所需的操作:
class MySecurityExpressionOperations implements SecurityExpressionOperations {
    private SecurityExpressionOperations delegate;

    public MySecurityExpressionOperations(SecurityExpressionOperations delegate) {
        this.delegate = delegate;
    }

    public boolean hasProducts() {
        MyUser user = (MyUser) delegate.getAuthentication().getPrincipal();
        return !user.getProductList().isEmpty();
    }

    // Other methods
}
  1. 扩展org.springframework.security.web.access.expression.WebExpressionVoter和替换标准表达式处理程序:
class MyWebExpressionVoter extends WebExpressionVoter {
    public MyWebExpressionVoter() {
        setExpressionHandler(new DefaultWebSecurityExpressionHandler() {
            @Override
            protected SecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, FilterInvocation fi) {
                SecurityExpressionOperations delegate = super.createSecurityExpressionRoot(authentication, fi);
                return new MySecurityExpressionOperations(delegate);
            }
        });
    }
 }
  1. 提供自定义访问决策管理器:
<bean id="affirmativeBased" class="org.springframework.security.access.vote.AffirmativeBased">
    <constructor-arg>
        <list>
            <bean class="my.company.MyWebExpressionVoter"/>
        </list>
    </constructor-arg>
</bean>
  1. 应用自定义访问决策管理器:
<http pattern="/**" use-expressions="true" access-decision-manager-ref="affirmativeBased">
    <!-- ... -->
</http>
  1. 使用额外的安全操作保护 URL 之一:
<intercept-url pattern="/products" access="hasProducts()"/>
于 2018-09-09T19:28:51.363 回答
0

如果您正在寻找检查productList中的元素数量,这是一种解决方法:

 <intercept-url pattern="/myurl" access="principal.productList.size() > 0" />
于 2018-09-09T18:18:49.763 回答