使用 spring security 自定义注释

2023-12-02

我已阅读 Spring Security 文档，并了解到我可以使用以下注释来检查主题是否有权编辑用户。

@PreAuthorize("hasPermission('USER_EDIT')")
public String editUSer(User user);

我想做的是编写我的自定义注释 MyAutorizationCheck 并使用它，如下所示

@MyAuthorizationCheck(Application.USER_MANAGEMENT, AccessLevel.EDIT)
public String editUSer(User user);

其中 Application 和 AccessLevel 是枚举。

enum Application{
    USER_MANAGEMENT, ORDER_MANAGEMENT
}

enum AccessLevel{
    READ, CREATE, UPDATE, DELETE
}

此注释的处理程序应该能够决定用户是否具有权限。

有任何指示如何实现这一目标吗？

谢谢。

Spring安全使用PrePostAnnotationSecurityMetadataSource找到@PreAuthorize并将 Spring-EL 表达式转换为ConfigAttribute.

您可以实施您的MyAuthorizationCheckAnnotationSecurityMetadataSource并覆盖getAttributes将枚举转换为的方法ConfigAttribute too;

像这样写你的代码：

@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface MyAuthorizationCheck {
    Application app();
    AccessLevel level();
}

public class MyAuthorizationCheckAnnotationSecurityMetadataSource extends AbstractMethodSecurityMetadataSource {

    private final PrePostInvocationAttributeFactory attributeFactory;

    public MyAuthorizationCheckAnnotationSecurityMetadataSource(PrePostInvocationAttributeFactory attributeFactory) {
        this.attributeFactory = attributeFactory;
    }

        @Override
    public Collection<ConfigAttribute> getAttributes(Method method, Class<?> targetClass) {
        if (method.getDeclaringClass() == Object.class) {
            return Collections.emptyList();
        }
        this.logger.trace(LogMessage.format("Looking for FddApi annotations for method '%s' on target class '%s'",
                method.getName(), targetClass));
        MyAuthorizationCheck myAuthorization = findAnnotation(method, targetClass, MyAuthorizationCheck.class);
        if (myAuthorization == null) {
            this.logger.trace("No expression annotations found");
            return Collections.emptyList();
        }
        Application app = myAuthorization.app();
        AccessLevel level = myAuthorization.level();
        // build the Spring-EL expression from enums
        String expr = "hasPermission('" + app.name() + "_" + level.name() + "')";
        PreInvocationAttribute pre = this.attributeFactory.createPreInvocationAttribute(null, null, expr);
        return CollUtil.newArrayList(pre);
    }
    // other method can copy from PrePostAnnotationSecurityMetadataSource
    ...

}

然后注册 MyAuthorizationCheckAnnotationSecurityMetadataSource。

我们的代码需要 PreInitationAuthorizationAdviceVoter 来检查权限，所以需要启用 prePostEnabled

@EnableGlobalMethodSecurity(prePostEnabled = true)
public class CustomSecurityConfig extends GlobalMethodSecurityConfiguration {

    @Override
    protected MethodSecurityMetadataSource customMethodSecurityMetadataSource() {
        ExpressionBasedAnnotationAttributeFactory attributeFactory = new ExpressionBasedAnnotationAttributeFactory(
                getExpressionHandler());
        return new MyAuthorizationCheckAnnotationSecurityMetadataSource(attributeFactory);
    }
}

最后你可以像这样使用@MyAuthorizationCheck：

@MyAuthorizationCheck(app = Application.USER_MANAGEMENT, level = AccessLevel.EDIT)
public String editUSer(User user);

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

SpringSecurity

使用 spring security 自定义注释的相关文章

SecurityContextHolder.getContext().getAuthentication() 返回 null

我想使用以下代码手动绕过 spring Security 的用户 User localeUser new User UsernamePasswordAuthenticationToken auth new UsernamePasswordA
使用 Spring Security 时，SecurityContext 是否在请求之间共享？

在使用 Spring Boot 编写的 Rest API 上使用基于无状态令牌的身份验证时我看到一些奇怪的行为客户端在每个请求中包含一个 JWT 令牌并且我编写的扩展 GenericFilterBean 的自定义过滤器使用以下命令将基
@PreAuthorize 不起作用。可能存在什么问题？

有一个我用过的管理页面 PreAuthorize角色注释ROLE ADMIN 但是没有此角色的用户也可以访问此页面该安全上下文文件
我如何通过 Spring Security 创建 oauth 2 用户名密码流

我正在尝试在 Spring Security 上实现 oauth2 用户名密码流程但我找不到任何文档和示例代码我正在检查 Sparklr 和 tonr insode oauth2 样本我怎样才能实现它 oauth2 2 条腿我如何禁
Spring 在 AuthenticationSuccessHandler 中自动装配会话范围 bean 不起作用

我正在使用 spring security 我想初始化一个对象User在用户成功登录后的会话中安全配置如下 Configuration EnableWebSecurity PropertySource classpath configs
如何在Spring Security SAML示例中配置IDP元数据和SP元数据？

我想处理 Spring Security SAML 为此我开始探索Spring安全SAML http docs spring io spring security saml docs 1 0 x reference html chapte
JSESSIONID cookie 未存储

我有一个用 Angular 编写的前端在 localhost 3002 上运行我有一个用 Spring boot 编写的后端它在 localhost 8080 上运行我添加了一个过滤器来处理 CORS 我在 SO 上找到并适应了我的
使用 Spring Security 3.0.5 覆盖 ChannelProcessingFilter 不起作用

通道处理器的默认行为是执行 sendRedirect 使用 302 代码临时重定向我需要更改此行为以便完成永久 301 重定向而不是 302 重定向我尝试执行以下操作通过扩展 ChannelProcessingFilter 创建自定
Spring security 3.1.4 和 ShaPasswordEncoder 弃用

今天我将我正在开发的应用程序的 spring security 版本从 3 1 3 升级到 3 1 4 并且我注意到了一个弃用警告org springframework security authentication encoding S
SAML 服务提供商 Spring Security

当使用预先配置的服务提供者元数据时在 Spring Security 中是否应该有 2 个用于扩展元数据委托的 bean 定义一份用于 IDP 元数据一份用于 SP 元数据
Spring WebFlux、安全性和请求正文

我需要使用请求正文的 HMAC 来保护使用 Spring Boot WebFlux 和 Spring Security 实现的 REST API 稍微简化一下在较高的层面上请求附带具有请求正文的哈希值的标头因此我必须读取标头读取正文
在 eclipse 之外将 Spring MVC 应用程序部署到 tomcat 的幕后会发生什么？

我猜想使用像 eclipse 这样很棒的 IDE 的一个缺点是你会忽略应用程序幕后发生的事情我是一名 Ruby 开发人员所以不是一名 Java 老手所以我一直在用 java 编写一个项目并使用 spring 框架进行 IOC 和 M
使用 spring security 找不到 AuthenticationProvider

我一直在尝试使用 x509 证书通过 LDAP 对用户进行身份验证但似乎无法正常工作我声明了一个身份验证提供程序但仍然抛出错误提示没有提供程序这是我的调试输出 INFO Initiating Jersey application
Spring Security 子线程上下文

所以我正在使用 Spring Security 开发这个 Spring MVC 应用程序在某些情况下我遇到了性能问题我的控制器需要很长时间才能响应这是由于一种处理方法可以根据某些用户输入来处理大量数据现在我已经与我的团队一起对该
Tomcat 上的 Spring Security SAML 元数据 URL

我正在开发一个基于 java 的 Web 应用程序在 Tomcat 服务器上使用 Spring Security SAML 实现 SSO 该应用程序将扮演服务提供商角色 SP 用于检索此 SP 元数据的默认 Spring URL 是 ht
添加了 corsConfigurationSource，但仍然出现错误“已被 CORS 策略阻止”

我正在尝试将 Spring Security 连接到我的项目创建安全配置类 Configuration EnableWebSecurity public class SecurityConfig extends WebSecurityCo
Spring boot 2.0.0.M4 需要一个名为“entityManagerFactory”的 bean，但无法找到

使用 spring boot 2 0 0 M4 的版本我遇到了这个问题 Description Field userRepository in webroot websrv auth service JwtUserDetailsServic
为什么Java配置后找不到这个Spring Security AuthenticationProvider？

我正在整合春季安全Auth0 https github com auth0 spring security auth0使用 1 3 2 RELEASE BOM 进入 Spring Web 应用程序我一直在使用提供的 auth0 secur
如何加密 server.ssl.key-store-password 值并在 Spring Boot 中使用它

我想知道我们是否可以加密 server ssl key store password 值并将其存储在 application properties 文件中而不是以纯文本形式存储我找不到任何关于此的文档对此的任何帮助都将受到高度赞赏提
Spring Boot和OAuth2社交登录，无法获取refreshToken

有一个如何使用 Spring 和 Spring Boot 实现 OAuth2 的指南https spring io guides tutorials spring boot oauth2 https spring io guides tut

随机推荐

动态更新 UILabel

我有一个关于 UILabels 的问题我什至不确定这是实现这一目标的正确方法但我正在尝试更新 UILabel 以显示从 0 到 24 的两个数字然后循环回零并再次显示数字序列问题是它需要每 1 24 秒更新一次 UILabel 这
NSException raise:format: 作为方法中的最后一个语句

我有这个方法 MHTwitterParser createParser NSString format if format compare json NSOrderedSame return MHJsonTwitterParser allo
如何对齐两个（或更多）图表的大小、滚动和网格

我有三个涉及同一周期的信号伏尔门电流和能量我在两张图表上打印数据一张显示电压蓝色和电流红色另一张仅显示能量橙色它们是两个不同的图表但实际上它们共享相同的 X 轴我有两个与鼠标移动同步的光标充当两个图形的一个光标
使用闪亮的动态CheckboxGroupInput

我正在尝试创建一个复选框以便能够按年份过滤数据集然而并非每个变量都具有每年的所有数据因此我只想要变量具有用户界面中显示的数据的年份遗憾的是将我的代码拆分为条件面板后按钮不再进行过滤 conditionalPanel condi
如何使用 ui-router 将对象从 1 $state 发送到另一个 $state

https plnkr co edit nqyBTcBgBimjkrpf2oYo p preview Expected After Login Selecting a Ticker button should make the Tags m
如果元标记出现在文档正文中会发生什么？

我正在开发一个 ASP 应用程序代码模板和文件的组织方式不允许我更改 body 标记之外的任何内容所以我正在考虑在正文中插入元标记像这样 div class dynamic content div
类内友元运算符似乎不参与重载决策

在编写允许类提供重载的 CRTP 模板时operator 基于模板参数我发现如果类内友元运算符的参数都不属于它定义的类的类型则该运算符似乎不会参与重载决策煮沸 enum class FooValueT zero one two cla
在 Python 中生成随机十六进制颜色

对于 Django 应用程序每个成员都被分配了一种颜色以帮助识别它们它们的颜色存储在数据库中然后在需要时打印复制到 HTML 中唯一的问题是我不确定如何生成随机数Hexpython django 中的颜色生成 RGB 颜色很
如何使用预加载器和多个图像显示加载状态？

我正在构建一个包含数百张图像的幻灯片并希望构建一个漂亮的加载栏因此我的想法是使用 JavaScript 预加载图像然后初始化 UI 的其余部分预加载图像不是问题但让浏览器在加载时更新状态才是问题我已经尝试了一些方法但浏览器只会
在Rails中，是否可以限制谁可以使用api登录google？

是否可以只允许某些谷歌帐户登录例如 email protected 是通过谷歌托管他们实际上是谷歌帐户我只想要用户 mycompany能够登录这可能吗你用 devise 还是 google api 来做这个谢谢如果您正在使用om
当键在字典中时出现键错误

只是试图从一堆照片的 EXIF 数据中提取一些纬度经度信息但代码抛出了一个KeyError即使稍后成功使用该键来打印特定坐标有问题的字典是 tags GPS GPSLatitude and GPS GPSLongitude 都是键
NSMutableArray 中的lastObject 是否返回对象的副本？

我有一个与这段代码相关的问题 NSNumber lastObject self myStack lastObject if lastObject self myStack removeLastObject return lastObject
点击事件时清除 QLineEdit

我正在使用给定的代码我希望用户在 QLineEdit 小部件中输入文本然后按复制按钮并看到输入的文本替换了 N A 标签我的问题是按照此过程如何通过简单的鼠标单击清除 QLineEdit 小部件中输入的文本从我读到的 this
旋转方法已弃用，相当于“didRotateFromInterfaceOrientation”？

我正在尝试实施新的viewWillTransitionToSizeiOS 8 中引入的方法所有其他旋转方法已被弃用我想知道相当于什么didRotateFromInterfaceOrientation现在是因为我们需要执行许多清理任务但
为什么我们不能使用 new 关键字创建活动？

为什么我们必须使用意图来启动活动为什么我们不能使用 Activity a new Activity 启动它我尝试在android开发者中搜索但没有得到任何答案可以但它不会完全初始化 Activity 上有一系列函数需要以正确的顺序调
Java - 私有和包私有枚举构造函数之间的区别[重复]

这个问题在这里已经有答案了最近我经常使用枚举所以我想知道私有枚举构造函数和没有任何可见性修饰符的枚举构造函数包私有之间有什么区别吗枚举的构造函数是隐式的private 就像接口和注释的方法是隐式的public abstract
如何在运行时正确压缩 UIImages

我需要加载 4 个图像进行同时编辑当我从用户库加载它们时内存超过 500mb 并且崩溃以下是我尝试进行任何压缩之前原始分配转储的日志 Code var pickedImage UIImage data imageData Instru
如何从我的应用程序打开标准 Google 地图应用程序？

一旦用户按下我的应用程序中的按钮我想打开标准的 Google 地图应用程序并显示特定位置我该怎么做不使用com google android maps MapView 你应该创建一个Intent具有 geo URI 的对象 Strin
LibGDX 保存纹理以避免上下文丢失

我的基于 LibGDX 的 Android 应用程序中有一个纹理它是通过 FrameBuffers 按程序创建的我需要通过上下文丢失来保留它而且似乎唯一有效的方法就是简单地保存数据无论是作为完整图像还是原始图像数据输出并在时间到
使用 spring security 自定义注释

我已阅读 Spring Security 文档并了解到我可以使用以下注释来检查主题是否有权编辑用户 PreAuthorize hasPermission USER EDIT public String editUSer User user

使用 spring security 自定义注释

使用 spring security 自定义注释 的相关文章

随机推荐

热门标签

使用 spring security 自定义注释的相关文章