Как создать пользовательские методы для использования в spring аннотациях выражения выражения безопасности

Я хотел бы создать класс, который добавляет пользовательские методы для использования в spring языке выражения безопасности для авторизации на основе методов через аннотации.

Например, я хотел бы создать собственный метод, например customMethodReturningBoolean, который будет использоваться так:

  @PreAuthorize("customMethodReturningBoolean()")
  public void myMethodToSecure() { 
    // whatever
  }

Мой вопрос в том, что. Если возможно, какой класс должен быть подклассом для создания моих пользовательских методов, как бы я решил настроить его в конфигурационных файлах spring xml и пришел ли кто-нибудь, чтобы я привел пример пользовательского метода, используемого таким образом?

Ответ 1

Вам нужно подклассифицировать два класса.

Сначала установите новый обработчик выражения метода

<global-method-security>
  <expression-handler ref="myMethodSecurityExpressionHandler"/>
</global-method-security>

myMethodSecurityExpressionHandler будет подклассом DefaultMethodSecurityExpressionHandler, который переопределяет createEvaluationContext(), устанавливая подкласс MethodSecurityExpressionRoot на MethodSecurityEvaluationContext.

Например:

@Override
public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) {
    MethodSecurityEvaluationContext ctx = new MethodSecurityEvaluationContext(auth, mi, parameterNameDiscoverer);
    MethodSecurityExpressionRoot root = new MyMethodSecurityExpressionRoot(auth);
    root.setTrustResolver(trustResolver);
    root.setPermissionEvaluator(permissionEvaluator);
    root.setRoleHierarchy(roleHierarchy);
    ctx.setRootObject(root);

    return ctx;
}

Ответ 2

Ни один из указанных методов не будет работать больше. Кажется, что Spring прошел большую длину, чтобы пользователи не переопределили SecurityExpressionRoot.

EDIT 11/19/14 Настройка Spring для использования аннотаций безопасности:

<beans ... xmlns:sec="http://www.springframework.org/schema/security" ... >
...
<sec:global-method-security pre-post-annotations="enabled" />

Создайте bean следующим образом:

@Component("mySecurityService")
public class MySecurityService {
    public boolean hasPermission(String key) {
        return true;
    }
}

Затем сделайте что-то подобное в jsp:

<sec:authorize access="@mySecurityService.hasPermission('special')">
    <input type="button" value="Special Button" />
</sec:authorize>

Или аннотировать метод:

@PreAuthorize("@mySecurityService.hasPermission('special')")
public void doSpecialStuff() { ... }

И помните: если вы используете Spring, и вам нужно решить проблему, расширив классы, переопределяя методы, внедряя интерфейсы и т.д.... тогда вы, вероятно, делаете что-то неправильно. Все аннотации и xml, поэтому мы очень любим Spring и не (старые версии) EJB.

Кроме того, вы можете использовать Spring Язык выражения в своих аннотациях @PreAuthorize для доступа к текущей аутентификации, а также к аргументам метода.

Например:

@Component("mySecurityService")
public class MySecurityService {
    public boolean hasPermission(Authentication authentication, String foo) { ... }
}

Затем обновите свой @PreAuthorize, чтобы он соответствовал новой сигнатуре метода:

@PreAuthorize("@mySecurityService.hasPermission(authentication, #foo)")
public void doSpecialStuff(String foo) { ... }

Ответ 3

Спасибо ericacm, но это не работает по нескольким причинам:

  • Свойства DefaultMethodSecurityExpressionHandler являются закрытыми (нежелательные клики видимости)
  • По крайней мере, в моем Eclipse я не могу разрешить объект MethodSecurityEvaluationContext

Различия заключаются в том, что мы называем существующий метод createEvaluationContext, а затем добавляем наш пользовательский корневой объект. Наконец, я просто вернул тип объекта StandardEvaluationContext, поскольку метод MethodSecurityEvaluationContext не будет разрешен в компиляторе (они оба из одного и того же интерфейса). Это код, который я сейчас имею в производстве.

Сделать MethodSecurityExpressionHandler использовать наш пользовательский корень:

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler  {

    // parent constructor
    public CustomMethodSecurityExpressionHandler() {
        super();
    }

    /**
     * Custom override to use {@link CustomSecurityExpressionRoot}
     * 
     * Uses a {@link MethodSecurityEvaluationContext} as the <tt>EvaluationContext</tt> implementation and
     * configures it with a {@link MethodSecurityExpressionRoot} instance as the expression root object.
     */
    @Override
    public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) {
        // due to private methods, call original method, then override it root with ours
        StandardEvaluationContext ctx = (StandardEvaluationContext) super.createEvaluationContext(auth, mi);
        ctx.setRootObject( new CustomSecurityExpressionRoot(auth) );
        return ctx;
    }
}

Это заменяет корень по умолчанию, расширяя SecurityExpressionRoot. Здесь я переименовал hasRole в hasEntitlement:

public class CustomSecurityExpressionRoot extends SecurityExpressionRoot  {

    // parent constructor
    public CustomSecurityExpressionRoot(Authentication a) {
        super(a);
    }

    /**
     * Pass through to hasRole preserving Entitlement method naming convention
     * @param expression
     * @return boolean
     */
    public boolean hasEntitlement(String expression) {
        return hasRole(expression);
    }

}

Наконец, обновите securityContext.xml(и убедитесь, что он ссылается на ваш applcationContext.xml):

<!-- setup method level security using annotations -->
<security:global-method-security
        jsr250-annotations="disabled"
        secured-annotations="disabled"
        pre-post-annotations="enabled">
    <security:expression-handler ref="expressionHandler"/>
</security:global-method-security>

<!--<bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">-->
<bean id="expressionHandler" class="com.yourSite.security.CustomMethodSecurityExpressionHandler" />

Примечание. аннотация @Secured не принимает это переопределение при прохождении через другой обработчик проверки. Итак, в приведенном выше xml я отключил их, чтобы предотвратить путаницу.