自定义spring security的安全表达式

阿信在这里2024-09-13 8:40

在Spring Security中,DefaultMethodSecurityExpressionHandler是处理方法安全表达式的默认处理器。如果你想注册自定义的安全表达式方法,你需要创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法来提供你自己的MethodSecurityExpressionOperations实现。

以下是注册自定义安全表达式方法的步骤:

  1. 创建一个自定义的MethodSecurityExpressionRoot类,扩展SecurityExpressionRoot并实现MethodSecurityExpressionOperations接口。在这个类中,你可以添加自定义方法,这些方法将在SpEL表达式中使用。

    java 复制代码 
    public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations {
    public CustomMethodSecurityExpressionRoot(Authentication authentication) {
        super(authentication);
    }
    // 添加你的自定义方法
    public boolean isMember(Long organizationId) {
        // 你的自定义逻辑
    }
    // 其他可能需要重写的方法
}

  2. 创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法,以返回你的自定义MethodSecurityExpressionRoot实例。

    java 复制代码 
    public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {
    @Override
    protected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, MethodInvocation invocation) {
        CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication);
        root.setPermissionEvaluator(getPermissionEvaluator());
        root.setTrustResolver(getTrustResolver());
        root.setRoleHierarchy(getRoleHierarchy());
        return root;
    }
}

  3. 在你的配置类中,使用@EnableGlobalMethodSecurity注解来启用方法安全,并使用MethodSecurityConfigurer来设置自定义的表达式处理器。

    java 复制代码 
    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new CustomMethodSecurityExpressionHandler();
    }
}

  4. 现在你可以在方法安全注解中使用你的自定义表达式了。

    java 复制代码 
    @PreAuthorize("isMember(#id)")
public void someMethod() {
    // ... 方法体 ...
}

getPermissionEvaluator()方法中获取自定义的权限评估器,你需要实现PermissionEvaluator接口,并在CustomMethodSecurityExpressionHandler中通过setPermissionEvaluator方法设置它。这样,你就可以在自定义的MethodSecurityExpressionRoot中使用自定义的权限评估逻辑了。

以上步骤基于搜索结果中的信息,特别是来自Baeldung的教程,它详细解释了如何创建和注册自定义的安全表达式方法。

相关推荐
sjsjsbbsbsn8 分钟前
大模型核心知识总结
java·人工智能·后端
白晨并不是很能熬夜1 小时前
【PRC】第 2 篇:Netty 通信层 — NIO 模型 + 自定义协议 + 心跳
java·开发语言·后端·面试·rpc·php·nio
斯普润布特1 小时前
物联网-Spring+Netty 框架整合
java·物联网·netty
简简单单就是我_hehe1 小时前
后端链路追踪局部采集和全量采集配置说明
java·开发语言
zshs0002 小时前
#从偶发无字幕到补偿探测链路:一次 B 站字幕导入问题的完整收敛过程
java·后端·重构
存在的五月雨2 小时前
SpringBoot 基于数据库的动态定时任务管理器实现方案
java·spring boot
星幻元宇VR2 小时前
VR航空航天科普设备助力航天知识普及
人工智能·科技·学习·安全·vr·虚拟现实
椰羊~王小美2 小时前
@RequestMapping注解的各个属性作用
java
Yeh2020583 小时前
request与response笔记
java·前端·笔记
程序员老邢3 小时前
【产品底稿 07】商助慧 Admin 运维模块落地:从 “能跑” 到 “能运维”,3 个页面搞定日常排障
java·运维·经验分享·spring boot·后端
热门推荐
01GitHub 镜像站点02近期有什么ai的新消息,新动态? 2026.4月032026年4月AI大事件深度解读:大模型竞争进入“深水区“04Codex 接入 DeepSeek API 完整配置文档052026年AI编程工具终极横评:Cursor vs Claude Code vs Copilot06零基础教你claude code 接入 deepseek V407在Windows 11上安装Docker的踩坑记录082026年AI前瞻:量子AI、具身智能与科学发现的新纪元09codex app每次打开重连5次Reconnecting问题解决10DeepSeek V4 全面解析:测评、对比、案例及实操指南