自定义spring security的安全表达式

阿信在这里2024-09-13 8:40

在Spring Security中,DefaultMethodSecurityExpressionHandler是处理方法安全表达式的默认处理器。如果你想注册自定义的安全表达式方法,你需要创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法来提供你自己的MethodSecurityExpressionOperations实现。

以下是注册自定义安全表达式方法的步骤:

  1. 创建一个自定义的MethodSecurityExpressionRoot类,扩展SecurityExpressionRoot并实现MethodSecurityExpressionOperations接口。在这个类中,你可以添加自定义方法,这些方法将在SpEL表达式中使用。

    java 复制代码 
    public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations {
    public CustomMethodSecurityExpressionRoot(Authentication authentication) {
        super(authentication);
    }
    // 添加你的自定义方法
    public boolean isMember(Long organizationId) {
        // 你的自定义逻辑
    }
    // 其他可能需要重写的方法
}

  2. 创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法,以返回你的自定义MethodSecurityExpressionRoot实例。

    java 复制代码 
    public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {
    @Override
    protected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, MethodInvocation invocation) {
        CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication);
        root.setPermissionEvaluator(getPermissionEvaluator());
        root.setTrustResolver(getTrustResolver());
        root.setRoleHierarchy(getRoleHierarchy());
        return root;
    }
}

  3. 在你的配置类中,使用@EnableGlobalMethodSecurity注解来启用方法安全,并使用MethodSecurityConfigurer来设置自定义的表达式处理器。

    java 复制代码 
    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new CustomMethodSecurityExpressionHandler();
    }
}

  4. 现在你可以在方法安全注解中使用你的自定义表达式了。

    java 复制代码 
    @PreAuthorize("isMember(#id)")
public void someMethod() {
    // ... 方法体 ...
}

getPermissionEvaluator()方法中获取自定义的权限评估器,你需要实现PermissionEvaluator接口,并在CustomMethodSecurityExpressionHandler中通过setPermissionEvaluator方法设置它。这样,你就可以在自定义的MethodSecurityExpressionRoot中使用自定义的权限评估逻辑了。

以上步骤基于搜索结果中的信息,特别是来自Baeldung的教程,它详细解释了如何创建和注册自定义的安全表达式方法。

相关推荐
ChinaRainbowSea9 分钟前
八. Spring Boot2 整合连接 Redis(超详细剖析)
java·数据库·spring boot·redis·后端·nosql
dal118网工任子仪18 分钟前
88.[4]攻防世界 web php_rce
安全·web安全
小咕聊编程33 分钟前
【含文档+PPT+源码】基于小程序的智能停车管理系统设计与开发
java·spring boot·小程序
某个默默无闻奋斗的人1 小时前
三傻排序的比较(选择,冒泡,插入)
java·数据结构·算法
doubt。3 小时前
3.[羊城杯2020]easyphp
网络·安全·web安全·网络安全·php·代码复审
好好学Java吖3 小时前
【二分题目】
java·开发语言
命运之手3 小时前
[ Spring ] Spring Boot Mybatis++ 2025
spring boot·spring·mybatis·mybatis-plus·mybatis++
鲤籽鲲3 小时前
C# 中 [MethodImpl(MethodImplOptions.Synchronized)] 的使用详解
java·开发语言·c#
逆风局?3 小时前
Java基础——分层解耦——IOC和DI入门
java·开发语言
ybq195133454314 小时前
javaEE-8.JVM(八股文系列)
java·jvm·java-ee
热门推荐
01DeepSeek本地部署详细指南02DeepSeek r1本地安装全指南03【deepseek】deepseek-r1本地部署-第一步:下载LM Studio04在Windows下安装Ollama并体验DeepSeek r1大模型05将DeepSeek接入Word,打造AI办公助手06使用Ollama 在Ubuntu运行deepseek大模型:以DeepSeek-coder为例07Ollama 安装教程:轻松开启本地大语言模型之旅08DeepSeek学术写作测评第一弹:论文润色,中译英效果如何?09本地部署DeepSeek教程(Mac版本)10DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具