如何在Spring Security @ PreAuthorize / @ PostAuthorize注释中使用自定义表达式

时间:2014-11-05 00:06:08

标签: spring security spring-security

有没有办法在@Preauthorize块中创建更具表现力的语句?这是我发现自己重复的一个例子,因为@Preauthorize不是非常聪明的开箱即用。

@RequestMapping(value = "{id}", method = RequestMethod.DELETE)
public void deleteGame(@PathVariable int id, @ModelAttribute User authenticatingUser) {
    Game currentGame = gameService.findById(id);
    if(authenticatingUser.isAdmin() || currentGame.getOwner().equals(authenticatingUser)) {
        gameService.delete(gameService.findById(id));
    } else {
        throw new SecurityException("Only an admin, or an owner can delete a game.");
    }
}

我更喜欢的是。

@RequestMapping(value = "{id}", method = RequestMethod.DELETE)
@Preauthorize(isAdmin(authenicatingUser) OR isOwner(authenicatingUser, id)
public void deleteGame(@PathVariable int id, @ModelAttribute User authenticatingUser, @ModelAttribute currentGame ) { //I'm not sure how to add this either :(
   gameService.delete(gameService.findById(id));
}

问题的一部分是我需要对数据库进行查询以获取一些这些东西以验证权限,例如查询数据库以获取游戏的副本,然后将游戏的所有者与提出要求的人。我不确定所有这些是如何在@Preauthorize注释处理器的上下文中运行的,或者我如何将事物添加到@Preauthorize(“”)值属性中可用的对象集合中。

3 个答案:

答案 0 :(得分:49)

由于@PreAuthorize评估SpEl - 表达式,最简单的方法就是指向一个bean:

    @PreAuthorize("@mySecurityService.someFunction()")

MySecurityService.someFunction应该有返回类型boolean

如果要传递authentication - 对象,Spring-security将自动提供名为Authentication的变量。您还可以使用任何有效的SpEl表达式来访问传递给安全方法的任何参数,评估正则表达式,调用静态方法等。例如:

    @PreAuthorize("@mySecurityService.someFunction(authentication, #someParam)")

答案 1 :(得分:27)

1)首先,您必须重新实现MethodSecurityExpressionRoot,其中包含额外的特定于方法的功能。最初的Spring Security实现是包私有的,因此不可能只扩展它。我建议检查给定类的源代码。

public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations {

    // copy everything from the original Spring Security MethodSecurityExpressionRoot

    // add your custom methods

    public boolean isAdmin() {
        // do whatever you need to do, e.g. delegate to other components

        // hint: you can here directly access Authentication object 
        // via inherited authentication field
    }

    public boolean isOwner(Long id) {
        // do whatever you need to do, e.g. delegate to other components
    }
}

2)接下来,您必须实现将使用上面定义的MethodSecurityExpressionHandler的自定义CustomMethodSecurityExpressionRoot

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {

    private final AuthenticationTrustResolver trustResolver = new AuthenticationTrustResolverImpl();

    @Override
    public void setReturnObject(Object returnObject, EvaluationContext ctx) {
        ((MethodSecurityExpressionRoot) ctx.getRootObject().getValue()).setReturnObject(returnObject);
    }

    @Override
    protected MethodSecurityExpressionOperations createSecurityExpressionRoot(Authentication authentication,
        MethodInvocation invocation) {
        final CustomMethodSecurityExpressionRoot root = new CustomMethodSecurityExpressionRoot(authentication);
        root.setThis(invocation.getThis());
        root.setPermissionEvaluator(getPermissionEvaluator());
        root.setTrustResolver(this.trustResolver);
        root.setRoleHierarchy(getRoleHierarchy());

        return root;
    }
}

3)在您的上下文中定义表达式处理程序bean,例如通过XML,您可以按照以下方式执行此操作

<bean id="methodSecurityExpressionHandler"
    class="my.package.CustomMethodSecurityExpressionHandler">
    <property name="roleHierarchy" ref="roleHierarchy" />
    <property name="permissionEvaluator" ref="permissionEvaluator" />
</bean>

4)注册上面定义的处理程序

<security:global-method-security pre-post-annotations="enabled">
    <security:expression-handler ref="methodSecurityExpressionHandler"/>
</security:global-method-security>

5)然后只需使用@PreAuthorize和/或@PostAuthorize注释中定义的表达式

@PreAuthorize("isAdmin() or isOwner(#id)")
public void deleteGame(@PathVariable int id, @ModelAttribute currentGame) {
    // do whatever needed
}

还有一件事。使用方法级安全性来保护控制器方法并使用业务逻辑(例如,您的服务层方法)来保护方法并不常见。然后你可以使用类似下面的内容。

public interface GameService {

    // rest omitted

    @PreAuthorize("principal.admin or #game.owner = principal.username")
    public void delete(@P("game") Game game);
}

但请记住,这只是一个例子。它希望实际主体具有isAdmin()方法,并且游戏使用getOwner()方法返回所有者的用户名。

答案 2 :(得分:9)

您可以编写类似的注释:

@PreAuthorize("hasRole('ROLE_ADMIN') and hasPermission(#id, 'Game', 'DELETE')")

要使hasPermission部分正常工作,您需要实现PermissionEvaluator接口。

然后定义表达式处理程序bean:

@Autowired
private PermissionEvaluator permissionEvaluator;

@Bean
public DefaultMethodSecurityExpressionHandler expressionHandler()
{
    DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
    handler.setPermissionEvaluator(permissionEvaluator);
    return handler;
}

并注入您的安全配置:

<global-method-security pre-post-annotations="enabled">
  <expression-handler ref="expressionHandler" />
</global-method-security>
相关问题
最新问题