Spring Безопасность @PreAuthorization пропускает перечисления напрямую

Ответ 1

Опираясь на ту же проблему, я закончил гибридное решение. Я использую Spring -El и пользовательский bean для предоставления моего собственного метода hasPermission(), который принимает Enum. Учитывая, что Spring выполняет автоматическое преобразование string->enum, во время выполнения я получаю исключение во время выполнения, если конкретное перечисление не существует, если в строке есть опечатка. Не идеальным решением (скорее всего, было что-то, что не удалось во время компиляции), но приемлемым компромиссом. Это дает мне некоторую полутипную безопасность.

@Component("securityService")
public class SecurityService {
    public boolean hasPermission( Permission...permissions){
        // loop over each submitted role and validate the user has at least one
        Collection<? extends GrantedAuthority> userAuthorities = SecurityContextHolder.getContext().getAuthentication().getAuthorities();
        for( Permission permission : permissions){
            if( userAuthorities.contains( new SimpleGrantedAuthority(permission.name())))
                return true;
        }

        // no matching role found
        return false;
    }
}

Используется следующим образом:

@PreAuthorize("@securityService.hasPermission({'USER_ADD'})")
public User addUser(User user){
    // create the user
    return userRepository.save( user );
}

Где Разрешение - это просто нормальное определение перечисления:

public enum Permission {
    USER_LIST,
    USER_EDIT,
    USER_ADD,
    USER_ROLE_EDIT
}

Надеюсь, это поможет кому-то другому в будущем.

Ответ 2

На самом деле вы можете реализовать пользовательские строго типизированные аннотации безопасности, хотя это довольно утомительно. Объявите аннотацию

enum Permission {
    USER_LIST,
    USER_EDIT,
    USER_ADD,
    USER_ROLE_EDIT
}

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@interface Permissions {
    Permission[] value();
}

Объявите, что пользовательская реализация org.springframework.security.access.ConfigAttribute будет использоваться конвейером безопасности

class SecurityAttribute implements ConfigAttribute {
    private final List<Permission> permissions;

    public SecurityAttribute(List<Permission> permissions) {
        this.permissions = permissions;
    }

    @Override
    public String getAttribute() {
        return permissions.stream().map(p -> p.name()).collect(Collectors.joining(","));
    }
}

Объявите пользовательскую реализацию org.springframework.security.access.method.MethodSecurityMetadataSource для создания экземпляров SecurityAttribute из аннотаций

class SecurityMetadataSource extends AbstractMethodSecurityMetadataSource {
    @Override
    public Collection<ConfigAttribute> getAttributes(Method method, Class<?> targetClass) {

      //consult https://github.com/spring-projects/spring-security/blob/master/core/src/main/java/org/springframework/security/access/prepost/PrePostAnnotationSecurityMetadataSource.java
      //to implement findAnnotation  
      Permissions annotation = findAnnotation(method, targetClass, Permissions.class);
        if (annotation != null) {
            return Collections.singletonList(new SecurityAttribute(asList(annotation.value())));
        }
        return Collections.emptyList();
    }

    @Override
    public Collection<ConfigAttribute> getAllConfigAttributes() {
        return null;
    } 

}

Наконец, объявите пользовательскую реализацию org.springframework.security.access.AccessDecisionVoter

public class PermissionVoter implements AccessDecisionVoter<MethodInvocation> {
    @Override
    public boolean supports(ConfigAttribute attribute) {
        return attribute instanceof SecurityAttribute;
    }

    @Override
    public boolean supports(Class<?> clazz) {
        return MethodInvocation.class.isAssignableFrom(clazz);
    }

    @Override
    public int vote(Authentication authentication, MethodInvocation object, Collection<ConfigAttribute> attributes) {
        Optional<SecurityAttribute> securityAttribute = attributes.stream()
                .filter(attr -> attr instanceof SecurityAttribute).map(SecurityAttribute.class::cast).findFirst();
        if(!securityAttribute.isPresent()){
            return AccessDecisionVoter.ACCESS_ABSTAIN;
        }
        //authorize your principal from authentication object
        //against permissions and return ACCESS_GRANTED or ACCESS_DENIED

    }

}

а теперь собери их всех вместе в MethodSecurityConfig

@Configuration
@EnableGlobalMethodSecurity
class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

    @Override
    protected MethodSecurityMetadataSource customMethodSecurityMetadataSource() {
        return new ScpSecurityMetadataSource();
    }

    @Override
    protected AccessDecisionManager accessDecisionManager() {
        return new AffirmativeBased(Collections.singletonList(new PermissionVoter()));
    }
}

Ответ 3

Я сделал так:

1 - Определите ваше перечисление, ссылающееся на публичную конечную статическую строку "VALUE", как это

public enum MyEnum {
    ENUM_A(Names.ENUM_A);

    private String value;

    private MyEnum (String value) {
        this.value = value;
    }

    public static class Names {

        public  final static String ENUM_A = "ENUM_A";
    }
}

2 - значения Concat MyEnum в @PreAuthorize

@PreAuthorize("hasPermission('myDomain', '"+ MyEnum.Names.ENUM_A+"')")

Ответ 4

Вы можете создавать статические аннотации следующим образом:

@ReadPermission

Переместив аннотацию @PreAuthorize в определение @ReadPermission:

@Inherited    
@PreAuthorize("hasRole(T(fully.qualified.Permission).READ.roleName())")
public @interface ReadPermission {

}

Преимущество этого заключается в том, что вы можете изменить выражение SPEL Spring в одном месте, а не изменять его в каждом методе. Еще одним плюсом является то, что вы можете использовать эту аннотацию на уровне класса - каждый метод будет защищен этой аннотацией. Это полезно для AdminControllers и т.д..