在Spring Security中使用PreAuthorize调用自己的方法
如果您想在Spring Security方法授权中使用一些复杂的逻辑进行授权,则可以调用任何bean的方法。
顺便说一句,如果您想正确添加自定义身份验证,则实现PermissionEvaluator可能是合法的方法。
本文很容易理解,并详细介绍了PermissionEvaluator的实现。
- 在控制器端上进行预授权定义
Controller.java
// An highlighted block
@PreAuthorize(“@customPreAuthorizer.belongGroup(#groupId, authentication.principal)”)
@RequestMapping(“/group/{groupId}/list”)
public String list(Model model, @PathVariable(“groupId”) Long groupId) {
}
- Bean定义
CustomPreAuthorizer.java
@Component
public class CustomPreAuthorizer {
public boolean belongGroup(Long groupId, UserDetails userDetails) {
// 自定义逻辑
return true;
}
}
您可以通过在PreAuthorize表达式的Bean名称开头添加@来引用注册为组件的Bean。
@customPreAuthorizer 可以将认证用户的用户信息作为参数传递给authentication.principal。
如果传递给PreAuthorize中的参数的描述是多余的,则可以通过在方法中调用SecurityContext获得相同的内容,因此可以在方法中对其进行检索。
CustomPreAuthorizer.java
// An highlighted block
@Component
public class CustomPreAuthorizer {
public boolean belongGroup(Long groupId) {
var userDetails = (UserDetails)SecurityContextHolder.getContext().getAuthentication().getPrincipal();
return true;
}
}
之后,如果扩展UserDetails并在登录时拥有必要的信息,则可以实现并提供扩展的原始授权。