自定义spring security的安全表达式

阿信在这里2024-09-13 8:40

在Spring Security中,DefaultMethodSecurityExpressionHandler是处理方法安全表达式的默认处理器。如果你想注册自定义的安全表达式方法,你需要创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法来提供你自己的MethodSecurityExpressionOperations实现。

以下是注册自定义安全表达式方法的步骤:

  1. 创建一个自定义的MethodSecurityExpressionRoot类,扩展SecurityExpressionRoot并实现MethodSecurityExpressionOperations接口。在这个类中,你可以添加自定义方法,这些方法将在SpEL表达式中使用。

    java 复制代码 
    public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations {
    public CustomMethodSecurityExpressionRoot(Authentication authentication) {
        super(authentication);
    }
    // 添加你的自定义方法
    public boolean isMember(Long organizationId) {
        // 你的自定义逻辑
    }
    // 其他可能需要重写的方法
}

  2. 创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法,以返回你的自定义MethodSecurityExpressionRoot实例。

    java 复制代码 
    public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {
    @Override
    protected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication, MethodInvocation invocation) {
        CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication);
        root.setPermissionEvaluator(getPermissionEvaluator());
        root.setTrustResolver(getTrustResolver());
        root.setRoleHierarchy(getRoleHierarchy());
        return root;
    }
}

  3. 在你的配置类中,使用@EnableGlobalMethodSecurity注解来启用方法安全,并使用MethodSecurityConfigurer来设置自定义的表达式处理器。

    java 复制代码 
    @Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new CustomMethodSecurityExpressionHandler();
    }
}

  4. 现在你可以在方法安全注解中使用你的自定义表达式了。

    java 复制代码 
    @PreAuthorize("isMember(#id)")
public void someMethod() {
    // ... 方法体 ...
}

getPermissionEvaluator()方法中获取自定义的权限评估器,你需要实现PermissionEvaluator接口,并在CustomMethodSecurityExpressionHandler中通过setPermissionEvaluator方法设置它。这样,你就可以在自定义的MethodSecurityExpressionRoot中使用自定义的权限评估逻辑了。

以上步骤基于搜索结果中的信息,特别是来自Baeldung的教程,它详细解释了如何创建和注册自定义的安全表达式方法。

相关推荐
skiy5 分钟前
springboot+全局异常处理
java·spring boot·spring
愤豆6 分钟前
07-Java语言核心-JVM原理-JVM对象模型详解
java·jvm·c#
东离与糖宝11 分钟前
零基础Java学生面试通关手册:项目+算法+框架一次搞定
java·人工智能·面试
gaozhiyong081313 分钟前
超越跑分:Gemini 3.1 Pro 2026年多维度能力评估体系深度拆解
java·开发语言
皙然14 分钟前
深入解析Java volatile关键字:作用、底层原理与实战避坑
java·开发语言
再玩一会儿看代码14 分钟前
Java中 next() 和 nextLine() 有什么区别?一篇文章彻底搞懂
java·开发语言·经验分享·笔记·学习
聊点儿技术16 分钟前
游戏账号盗用频发,IP风险等级评估如何成为第一道防线?
安全·游戏·ip地址·风险评估·账号安全·ip风险等级评估
心勤则明24 分钟前
使用SpringAIAlibaba给上下文“瘦身”
java·人工智能·spring
marsh020628 分钟前
22 openclaw身份认证与授权:构建安全的访问控制
安全·ai·编程·技术
YMWM_1 小时前
python3中的装饰器介绍及其应用场景
java·后端·spring
热门推荐
012026年3月AI领域大事件:DeepSeek引领开源风暴02GitHub 镜像站点03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06【计算机一级WPSoffice】小黑课堂题库软件下载安装教程(2026年3月最新版)07UV安装并设置国内源08“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)09中国象棋-html版本10Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南