自定义spring security的安全表达式

阿信在这里2024-09-13 8:40

在Spring Security中,DefaultMethodSecurityExpressionHandler是处理方法安全表达式的默认处理器。如果你想注册自定义的安全表达式方法,你需要创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法来提供你自己的MethodSecurityExpressionOperations实现。

以下是注册自定义安全表达式方法的步骤:

  1. 创建一个自定义的MethodSecurityExpressionRoot类,扩展SecurityExpressionRoot并实现MethodSecurityExpressionOperations接口。在这个类中,你可以添加自定义方法,这些方法将在SpEL表达式中使用。

    java 复制代码 
    public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations {
    public CustomMethodSecurityExpressionRoot(Authentication authentication) {
        super(authentication);
    }
    // 添加你的自定义方法
    public boolean isMember(Long organizationId) {
        // 你的自定义逻辑
    }
    // 其他可能需要重写的方法
}

  2. 创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法,以返回你的自定义MethodSecurityExpressionRoot实例。

    java 复制代码 
    public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {
    @Override
    protected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, MethodInvocation invocation) {
        CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication);
        root.setPermissionEvaluator(getPermissionEvaluator());
        root.setTrustResolver(getTrustResolver());
        root.setRoleHierarchy(getRoleHierarchy());
        return root;
    }
}

  3. 在你的配置类中,使用@EnableGlobalMethodSecurity注解来启用方法安全,并使用MethodSecurityConfigurer来设置自定义的表达式处理器。

    java 复制代码 
    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new CustomMethodSecurityExpressionHandler();
    }
}

  4. 现在你可以在方法安全注解中使用你的自定义表达式了。

    java 复制代码 
    @PreAuthorize("isMember(#id)")
public void someMethod() {
    // ... 方法体 ...
}

getPermissionEvaluator()方法中获取自定义的权限评估器,你需要实现PermissionEvaluator接口,并在CustomMethodSecurityExpressionHandler中通过setPermissionEvaluator方法设置它。这样,你就可以在自定义的MethodSecurityExpressionRoot中使用自定义的权限评估逻辑了。

以上步骤基于搜索结果中的信息,特别是来自Baeldung的教程,它详细解释了如何创建和注册自定义的安全表达式方法。

相关推荐
laplace01232 小时前
Java八股—MySQL
java·mysql·oracle
熙客3 小时前
TiDB:分布式关系型数据库
java·数据库·分布式·tidb
你想考研啊4 小时前
linux安装jdk和tomcat和并自启动
java·linux·tomcat
智驱力人工智能6 小时前
基于视觉分析的人脸联动使用手机检测系统 智能安全管理新突破 人脸与手机行为联动检测 多模态融合人脸与手机行为分析模型
算法·安全·目标检测·计算机视觉·智能手机·视觉检测·边缘计算
悟能不能悟6 小时前
java的java.sql.Date和java.util.Date的区别,应该怎么使用
java·开发语言
高山上有一只小老虎7 小时前
java 正则表达式大全
java·正则表达式
_院长大人_8 小时前
设计模式-工厂模式
java·开发语言·设计模式
凌波粒8 小时前
MyBatis完整教程IDEA版(2)--ResultMap/注解/一对多/多对一/lombok/log4j
java·intellij-idea·mybatis
蓝-萧8 小时前
【玩转全栈】----Django基本配置和介绍
java·后端
priority_key8 小时前
排序算法:堆排序、快速排序、归并排序
java·后端·算法·排序算法·归并排序·堆排序·快速排序
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04综合整理:pdf预览显示:你尝试预览的文件可能对你的计算机有害。如果你信任此文件以及其来源,请打开此文件以看其内容,如何解决以正常预览文件05Linux下V2Ray安装配置指南06jdk21下载、安装(Windows、Linux、macOS)07安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)08npm使用国内淘宝镜像的方法09PyCharm 社区版全平台安装指南10NVIDIA显卡驱动、CUDA、cuDNN 和 TensorRT 版本匹配指南