Spring Security 3.0提供了一些新的注释,以便在方法级上全面支持数据权限访问控制。有四个属性注释支持表达式允许pre和post-invocation授权检查,支持过滤收集参数或返回值。他们是@PreAuthorize, @PreFilter, @PostAuthorize and @PostFilter。启用这些注解必须在spring boot项目中添加@EnableGlobalMethodSecurity(prePostEnabled = true) 注解。
@PreAuthorize("hasRole('USER')")
public void create(Contact contact);
表示用户必须拥有角色"ROLE_USER"才会允许访问方法,用户角色来自于登陆时授予的角色。
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);
这里使用包含一个方法参数的表达式来决定当前用户是否有"admin"允许给定的访问。内置的hasPermission()表达式是通过应用程序上下文链接到Spring Security ACL模块,也可以访问任何变量名称作为方法参数的表达式。
任何Spring-EL功能都可以在表达式中使用(必须是布尔求值表达式),我们也可以访问目标方法的参数。举个例子,如果你想要一个特定方法只允许一个用户访问的用户名匹配的方法调用,你可以写
@PreAuthorize("#contact.name == authentication.name")
public void doSomething(Contact contact);
如果希望在方法调用之后执行访问控制检查,可以使用@PostAuthorize注释.可以使用内置的名字“returnObject”访问方法的返回值。
@PostAuthorize("#returnObject.uid == principal")
public Contract getContract(String contractId);
过滤用@PreFilter and @PostFilter
Spring Security支持集合和数组的过滤,这可以通过使用表达式。这是最常见的一个方法的返回值上执行。例如
@PreAuthorize("hasRole('USER')")
@PostFilter("hasPermission(filterObject, 'read') or hasPermission(filterObject, 'admin')")
public List getAll();
当用@PostFilter 注释,Spring Security遍历返回的集合并删除任何元素提供的表达式是错误的。“filterObject”指的是当前的对象的集合。你还可以过滤方法调用之前,使用“@PreFilter”,尽管这是一个不太常见的需求。语法是相同的,但是如果有一个以上的论证它是一个集合类型然后你必须选择一个的名字使用“filterTarget”属性的注释.
注意,过滤显然是不能代替数据库检索查询过滤。如果你是大数据量查询和删除,这么做是非常低效的.
常见的内置的表达式
表达 | 描述 |
---|---|
hasRole([role]) | 如果当前主体具有指定的角色,则返回true.默认情况下,如果提供的角色不从’ROLE_'这里提供,这将增加。这可以通过修改defaultroleprefix 在 defaultwebsecurityexpressionhandler 配置. |
hasAnyRole([role1,role2]) | 如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回true,默认情况下,如果提供的角色不从 ‘ROLE_’,这将增加。这可以通过修改defaultroleprefix 在defaultwebsecurityexpressionhandler 定制. |
hasAuthority([authority]) | 如果当前的主体具有指定的权限,则返回 true. |
hasAnyAuthority([authority1,authority2]) | 如果当前的主体有任何提供的角色(给定的作为一个逗号分隔的字符串列表)的话,返回true. |
principal | 允许直接访问表示当前用户的主对象 |
authentication | 允许直接访问从SecurityContext得出当前的Authentication对象 |
permitAll | 总是评估为true |
denyAll | 总是评估为false |
isAnonymous() | 如果当前的主体是一个匿名用户,则返回true. |
isRememberMe() | 如果当前的主体是一个匿名用户,则返回true |
isAuthenticated() | 如果用户不是匿名的,则返回 true |
isFullyAuthenticated() | 如果用户不是一个匿名的或是一个记住我的用户返回true |
hasPermission(Object target, Object permission) | 如果用户已访问给定权限的提供的目标,则返回true,例如hasPermission(domainObject, ‘read’) |
hasPermission(Object targetId, String targetType, Object permission) | 如果用户已访问给定权限的提供的目标,则返回true,例如hasPermission(1, ‘com.example.domain.Message’, ‘read’) |
本文参考Spring Security手册
https://docs.spring.io/spring-security/site/docs/4.2.x/reference/html/el-access.html