春季安全许可程序化检查

时间:2014-04-09 05:18:43

标签: java spring spring-security spring-security-acl

我有一个弹簧安全ACL系统,它似乎工作正常,只是我不知道如何以编程方式执行权限检查。
我的应用程序分为3层(视图,服务(业务),DAO),我想在服务层执行身份验证。因此,对于一个以域对象作为参数的方法:

@PreAuthorize("hasPermission(#proj,'write'")
public Project updateProject(Project proj) {
 .............
}

问题通过注释解决 但是对于一个方法,它将一个没有acl的对象作为参数,我必须以编程方式检查用户是否有权限。
假设我有一个对象ProjectWrapper:

public class ProjectWrapper {

    private Project project;    
    private Something something;
    // setters and getters here 
}

所以现在我的Service方法收到了这种类型的参数:

public Project updateProject(ProjectWapper projWrapp) {

   Project p = projWrapp.getProject();
   // before performing any operation on project I need to know if current user has neccessary permissions on this object 
  // ??? how do i check that ?

}

我是否需要使用AclService来执行该操作?就像我需要创建/更新权限,或者是否有更清洁/更好的可能性? 对于deleteProject(Long id)方法的同样问题,首先我必须从db获取对象以检查当前用户是否具有删除权限。

1 个答案:

答案 0 :(得分:1)

方法安全注释支持Spring EL表达式。对于您的包装类,您可以按如下方式使用它。

@PreAuthorize("hasPermission(#projectWrapper.project, 'write'")
public Project updateProject(ProjectWrapper projectWrapper) {
    // body omitted
}

如果您只有一个对象标识符而不是实际对象,则可以使用下面的模式。 

@PreAuthorize("hasPermission(#id, 'my.package.Project' 'delete'")
public void deleteProject(Long id) {
    // body omitted
}

您可能需要调整默认配置(例如,检索对象标识的策略等)以满足您的要求。有关详细信息,请参阅org.springframework.security.acls.AclPermissionEvaluator课程。

相关问题
最新问题