我正在开发一个Java企业应用程序,目前正在使用Java EE安全性来限制特定用户对特定功能的访问。我配置了应用程序服务器和所有内容,现在我使用RolesAllowed-annotation来保护方法:
@Documented
@Retention (RUNTIME)
@Target({TYPE, METHOD})
public @interface RolesAllowed {
String[] value();
}
当我使用这样的注释时,它可以正常工作:
@RolesAllowed("STUDENT")
public void update(User p) { ... }
但这不是我想要的,因为我必须在这里使用String,重构变得困难,并且可能发生拼写错误。因此,我想使用Enum值作为此注释的参数,而不是使用String。 Enum看起来像这样:
public enum RoleType {
STUDENT("STUDENT"),
TEACHER("TEACHER"),
DEANERY("DEANERY");
private final String label;
private RoleType(String label) {
this.label = label;
}
public String toString() {
return this.label;
}
}
所以我尝试将Enum用作这样的参数:
@RolesAllowed(RoleType.DEANERY.name())
public void update(User p) { ... }
但是后来我得到了以下编译器错误,虽然Enum.name只返回一个String(它总是不变的,不是吗?)。
注释属性RolesAllowed.value的值必须是常量表达式
我接下来尝试的是为我的枚举添加一个额外的最终字符串:
public enum RoleType {
...
public static final String STUDENT_ROLE = STUDENT.toString();
...
}
但是这也不能作为参数,导致相同的编译器错误:
// The value for annotation attribute RolesAllowed.value must be a constant expression
@RolesAllowed(RoleType.STUDENT_ROLE)
我如何实现我想要的行为?我甚至实现了自己的拦截器来使用我自己的注释,这是很漂亮的,但是对于像这样的小问题,代码行太多了。
声明
这个问题最初是一个Scala问题。我发现Scala不是问题的根源,所以我首先尝试用Java做这个。
答案 0 :(得分:31)
我认为您使用枚举的方法不会起作用。我发现如果我将最后一个示例中的STUDENT_ROLE
字段更改为常量字符串而不是表达式,则编译器错误消失了:
public enum RoleType {
...
public static final String STUDENT_ROLE = "STUDENT";
...
}
然而,这意味着枚举值不会在任何地方使用,因为你将在注释中使用字符串常量。
在我看来,如果你的RoleType
类只包含一堆静态的最终字符串常量,那么你会更好。
要了解您的代码未编译的原因,我查看了Java Language Specification(JLS)。 annotations的JLS指出,对于参数类型为 T 且值为 V 的注释,
如果 T 是基本类型或
String
,则 V 是常量表达式。
除其他事项外,constant expression还包括
表单的合格名称 TypeName 。引用常量变量的标识符
一个原始类型或类型
String
的变量,它是最终的并使用编译时常量表达式进行初始化
答案 1 :(得分:18)
这个怎么样?
public enum RoleType {
STUDENT(Names.STUDENT),
TEACHER(Names.TEACHER),
DEANERY(Names.DEANERY);
public class Names{
public static final String STUDENT = "Student";
public static final String TEACHER = "Teacher";
public static final String DEANERY = "Deanery";
}
private final String label;
private RoleType(String label) {
this.label = label;
}
public String toString() {
return this.label;
}
}
在注释中你可以像
一样使用它@RolesAllowed(RoleType.Names.DEANERY)
public void update(User p) { ... }
一个小问题是,对于任何修改,我们需要在两个地方进行更改。但由于它们属于同一档案,因此不太可能被遗漏。作为回报,我们正在获得不使用原始字符串和避免复杂机制的好处。
或者这听起来完全愚蠢? :)
答案 2 :(得分:9)
这是使用附加界面和元注释的解决方案。我已经包含了一个实用程序类来帮助进行反射以从一组注释中获取角色类型,并对其进行一些测试:
/**
* empty interface which must be implemented by enums participating in
* annotations of "type" @RolesAllowed.
*/
public interface RoleType {
public String toString();
}
/** meta annotation to be applied to annotations that have enum values implementing RoleType.
* the value() method should return an array of objects assignable to RoleType*.
*/
@Retention(RetentionPolicy.RUNTIME)
@Target({ANNOTATION_TYPE})
public @interface RolesAllowed {
/* deliberately empty */
}
@RolesAllowed
@Retention(RetentionPolicy.RUNTIME)
@Target({TYPE, METHOD})
public @interface AcademicRolesAllowed {
public AcademicRoleType[] value();
}
public enum AcademicRoleType implements RoleType {
STUDENT, TEACHER, DEANERY;
@Override
public String toString() {
return name();
}
}
public class RolesAllowedUtil {
/** get the array of allowed RoleTypes for a given class **/
public static List<RoleType> getRoleTypesAllowedFromAnnotations(
Annotation[] annotations) {
List<RoleType> roleTypesAllowed = new ArrayList<RoleType>();
for (Annotation annotation : annotations) {
if (annotation.annotationType().isAnnotationPresent(
RolesAllowed.class)) {
RoleType[] roleTypes = getRoleTypesFromAnnotation(annotation);
if (roleTypes != null)
for (RoleType roleType : roleTypes)
roleTypesAllowed.add(roleType);
}
}
return roleTypesAllowed;
}
public static RoleType[] getRoleTypesFromAnnotation(Annotation annotation) {
Method[] methods = annotation.annotationType().getMethods();
for (Method method : methods) {
String name = method.getName();
Class<?> returnType = method.getReturnType();
Class<?> componentType = returnType.getComponentType();
if (name.equals("value") && returnType.isArray()
&& RoleType.class.isAssignableFrom(componentType)) {
RoleType[] features;
try {
features = (RoleType[]) (method.invoke(annotation,
new Object[] {}));
} catch (Exception e) {
throw new RuntimeException(
"Error executing value() method in "
+ annotation.getClass().getCanonicalName(),
e);
}
return features;
}
}
throw new RuntimeException(
"No value() method returning a RoleType[] type "
+ "was found in annotation "
+ annotation.getClass().getCanonicalName());
}
}
public class RoleTypeTest {
@AcademicRolesAllowed({DEANERY})
public class DeaneryDemo {
}
@Test
public void testDeanery() {
List<RoleType> roleTypes = RolesAllowedUtil.getRoleTypesAllowedFromAnnotations(DeaneryDemo.class.getAnnotations());
assertEquals(1, roleTypes.size());
}
}
答案 3 :(得分:1)
我通过使用 Lombok 注释 FieldNameConstants
解决了这个问题:
@FieldNameConstants(onlyExplicitlyIncluded = true)
public enum EnumBasedRole {
@FieldNameConstants.Include ADMIN,
@FieldNameConstants.Include EDITOR,
@FieldNameConstants.Include READER;
}
接下来你可以使用它如下:
@RestController
@RequestMapping("admin")
@RolesAllowed(EnumBasedRole.Fields.ADMIN)
public class MySecuredController {
@PostMapping("user")
public void deleteUser(...) {
...
}
}
答案 4 :(得分:0)
我通过添加注释@RoleTypesAllowed
和添加元数据源解决了这个问题。如果仅需要支持一种枚举类型,则此方法非常有效。有关多种枚举类型,请参见anomolos的帖子。
下面的RoleType
是我的角色枚举。
@Documented
@Target({ElementType.TYPE, ElementType.METHOD})
@Retention(RetentionPolicy.RUNTIME)
public @interface RoleTypesAllowed {
RoleType[] value();
}
然后我将以下元数据源添加到spring ...
@Slf4j
public class CemsRolesAllowedMethodSecurityMetadataSource
extends AbstractFallbackMethodSecurityMetadataSource {
protected Collection<ConfigAttribute> findAttributes(Class<?> clazz) {
return this.processAnnotations(clazz.getAnnotations());
}
protected Collection<ConfigAttribute> findAttributes(Method method, Class<?> targetClass) {
return this.processAnnotations(AnnotationUtils.getAnnotations(method));
}
public Collection<ConfigAttribute> getAllConfigAttributes() {
return null;
}
private List<ConfigAttribute> processAnnotations(Annotation[] annotations) {
if (annotations != null && annotations.length != 0) {
List<ConfigAttribute> attributes = new ArrayList();
for (Annotation a : annotations) {
if (a instanceof RoleTypesAllowed) {
RoleTypesAllowed ra = (RoleTypesAllowed) a;
RoleType[] alloweds = ra.value();
for (RoleType allowed : alloweds) {
String defaultedAllowed = new RoleTypeGrantedAuthority(allowed).getAuthority();
log.trace("Added role attribute: {}", defaultedAllowed);
attributes.add(new SecurityConfig(defaultedAllowed));
}
return attributes;
}
}
}
return null;
}
}