JPA-带@PostFilter的findById:过滤器目标必须是集合或数组类型,但是可选的

时间:2018-07-02 21:34:46

标签: security spring-data-jpa spring-el

我刚刚将我的应用程序更新为Spring Boot 2.0.3.RELEASE,并发现@PostFilter中的SpEL不再起作用:

@PreAuthorize("isFullyAuthenticated()")
@PostFilter("hasAuthority('ADMIN') or @companyService.isOwnerOfPerson(#id, principal)")
@Override
public Optional<Person> findById(@Param("id") String id);

错误是     org.springframework.security.authentication.InternalAuthenticationServiceException:过滤目标必须是集合或数组类型,但是是可选的[Person ...]

我已经看到在https://jira.spring.io/browse/SPR-15878上对此进行了讨论,但是我正试图着手开展工作:我扩展了DefaultMethodSecurityExpressionHandler并按照上面引用的票证中的建议重写了setReturnObject方法:

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {

    @Override
    public void setReturnObject(Object returnObject, EvaluationContext ctx) {
        if (returnObject instanceof Optional) {
            Optional<?> optional = (Optional<?>)returnObject;

            Object value = null;
            if (optional.isPresent()) {
                value = optional.get();
            }

            ((MethodSecurityExpressionOperations) ctx.getRootObject().getValue())
            .setReturnObject(value);
        } else {
            super.setReturnObject(returnObject, ctx);
        }
    }

}

接下来,我将方法安全性配置如下:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        return new CustomMethodSecurityExpressionHandler();
    }

}

我不确定这是应该的,但是我知道它还不起作用;)

有人可以帮忙吗?

1 个答案:

答案 0 :(得分:0)

出现此错误是因为@PostFilter仅对集合(或数组)作为返回值起作用,而findById仅返回单个值的可选值。您可以在异常消息中看到它:

  

过滤器目标必须是集合或数组类型

相关问题
最新问题