我在我的REST应用程序中使用Java 8,Spring MVC 4,Spring Boot和Gradle。
我想通过某些Spring MVC 4控制器中的自定义方法注释为我的REST应用程序添加安全性。
这是一个基本的例子。
HomeController.java
package myapp;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.bind.annotation.RequestMapping;
@RestController
@RequestMapping("/")
public class HomeController {
@RequestMapping("/")
public String index() {
return "<h1>Hello, World!</h1><p>Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum</p>";
}
@CustomSecurityAnnotation
@RequestMapping("/secure")
public String secure() {
return "<h1>Secured!</h1><p>Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum Lorem Ipsum</p>";
}
}
我希望CustomSecurityAnnotation运行一个自定义方法来检查传入REST请求的标头,查看HTTP标头Authorization,拉出提供的值(如果提供了一个),然后运行针对该值的代码,以验证之前允许该方法继续进行的请求。如果授权无效,注释应该能够覆盖响应并提供HTTP 401或403,并且如果我决定成功传递注释自定义方法,则允许注释下的方法运行。
我意识到我可以使用PreAuthorize和其他MVC注释做类似的事情,但我正在考虑在单个注释内的方法中打包自定义逻辑,以便在任何控制器上的任何方法上使用我的选择。
谢谢!
答案 0 :(得分:11)
我们还在项目中创建了自定义注释。 你需要做的是面向方面编程。
首先,您需要创建自己的注释来标记方法,如下所示:
public @interface CustomSecurityAnnotation {
}
然后你必须编写执行方法时触发的逻辑。 你为此写了方面。
@Aspect
@Component
public class CustomSecurityAspect {
@Pointcut("@annotation(my.package.CustomSecurityAnnotation)")
private void customSecurityAnnotation() {
}
@Around("my.package.CustomSecurityAspect.customSecurityAnnotation()")
public Object doSomething(ProceedingJoinPoint pjp) throws Throwable {
HttpServletRequest req = getRequest();
// Check header values
// Throw Spring's AccessDeniedException if needed
return pjp.proceed();
}
private HttpServletRequest getRequest() {
ServletRequestAttributes sra = (ServletRequestAttributes) RequestContextHolder.getRequestAttributes();
return sra.getRequest();
}
}
正如您所看到的,我已经包含了一种检索当前HTTP请求的方法,因此您可以轻松检索要检查的标头。
如果是AccessDeniedException,Spring会自动将响应状态代码设置为HTTP 403。
请勿忘记在@EnableAspectJAutoProxy课程上启用@Configuration以启用方面。
答案 1 :(得分:0)
如果您不想创建自己的 Aspect(或者您想依赖普通的 Spring-Security),您可以采用 Spring Security 的机制并创建您自己的自定义 SecurityExpressionRoot,如下所示:{ {3}}
美妙的部分是您拥有框架提供的 methodInvocation,通过反射获取您的注释并将其传递给您的 CustomSecurityExpressionRoot。在 Kotlin 中,这看起来像这样:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
class MethodAuthConfig: GlobalMethodSecurityConfiguration() {
override fun createExpressionHandler(): MethodSecurityExpressionHandler = object: DefaultMethodSecurityExpressionHandler() {
override fun createSecurityExpressionRoot(authentication: Authentication, invocation: MethodInvocation): MethodSecurityExpressionOperations =
SecuredTargetExpressionRoot(
authentication,
// This is the important part to find your own annotation and pass it to your method security resolver
invocation.method.annotations.mapNotNull { it as? SecuredTarget }.firstOrNull()
).apply {
setThis(invocation.getThis())
setPermissionEvaluator(permissionEvaluator)
setTrustResolver(trustResolver)
setRoleHierarchy(roleHierarchy)
}
}
}
唯一缺少的是将 SpringSecurity 注释添加到您自己的注释中,例如:
@Target(FUNCTION)
@Retention(RUNTIME)
// This is the important line to let Spring security kick in action
@PreAuthorize("canAccessTarget()")
annotation class SecuredTarget (
// maybe any variables your want to specify at this annotation
)
并查看您的 Spring-Security 自定义 SpEl:
class SecuredTargetExpressionRoot(
authentication: Authentication,
private val securityInformation: SecuredTarget?
): SecurityExpressionRoot(authentication), MethodSecurityExpressionOperations {
fun canAccessTarget(): Boolean {
return // Your code of verification goes here :)
}
}
(我在我的 kotlin 项目中创建了这个。但我想你可以将这些行转换为 Java 代码没有问题。你需要做的大部分事情都在链接的教程中。我只是指出从哪里获得自定义注释信息来自 ;) 而且从好的方面来说:您可以使用所有 Spring-Securitys 机制,而无需编写自己的逻辑来捕获异常等)