|
对于最新的稳定版本,请使用 Spring Security 6.5.3! |
基于表达式的访问控制
概述
Spring Security 使用 Spring EL 来支持表达式,如果您有兴趣更深入地理解该主题,您应该查看它是如何工作的。 表达式使用“根对象”作为评估上下文的一部分进行计算。 Spring Security 使用用于 Web 和方法安全性的特定类作为根对象,以提供内置表达式和对值(例如当前主体)的访问。
常见的内置表达式
表达式根对象的基类是SecurityExpressionRoot.
这提供了一些常见的表达式,这些表达式在 Web 和方法安全性中都可用。
| 表达 | 描述 |
|---|---|
|
返回 例如 默认情况下,如果提供的角色不是以“ROLE_”开头,则会添加它。
这可以通过修改 |
|
返回 例如 默认情况下,如果提供的角色不是以“ROLE_”开头,则会添加它。
这可以通过修改 |
|
返回 例如 |
|
返回 例如 |
|
允许直接访问代表当前用户的主体对象 |
|
允许直接访问当前 |
|
始终计算为 |
|
始终计算为 |
|
返回 |
|
返回 |
|
返回 |
|
返回 |
|
返回 |
|
返回 |
Web 安全表达式
要使用表达式来保护单个 URL,您首先需要将use-expressions属性中的<http>元素设置为true.
然后,Spring Security 将期望access属性<intercept-url>元素以包含 Spring EL 表达式。
表达式的计算结果应为布尔值,定义是否应允许访问。
例如:
<http>
<intercept-url pattern="/admin*"
access="hasRole('admin') and hasIpAddress('192.168.1.0/24')"/>
...
</http>在这里,我们定义了应用程序的“管理”区域(由 URL 模式定义)应仅对具有授予权限“admin”且其 IP 地址与本地子网匹配的用户可用。
我们已经看到了内置的hasRole表达式。
表达式hasIpAddress是特定于 Web 安全的附加内置表达式。
它由WebSecurityExpressionRoot类,在计算 Web 访问表达式时,其实例用作表达式根对象。
这个对象还直接暴露了HttpServletRequest对象request因此,您可以直接在表达式中调用请求。
如果使用表达式,则WebExpressionVoter将添加到AccessDecisionManager命名空间使用的。
因此,如果您不使用命名空间并想使用表达式,则必须将其中一个添加到您的配置中。
在 Web 安全表达式中引用 Bean
如果您希望扩展可用的表达式,您可以轻松引用您公开的任何 Spring Bean。
例如,假设您有一个名称为webSecurity包含以下方法签名:
-
Java
-
Kotlin
public class WebSecurity {
public boolean check(Authentication authentication, HttpServletRequest request) {
...
}
}class WebSecurity {
fun check(authentication: Authentication?, request: HttpServletRequest?): Boolean {
// ...
}
}您可以使用以下方法参考该方法:
-
Java
-
XML
-
Kotlin
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/user/**").access(new WebExpressionAuthorizationManager("@webSecurity.check(authentication,request)"))
...
)<http>
<intercept-url pattern="/user/**"
access="@webSecurity.check(authentication,request)"/>
...
</http>http {
authorizeRequests {
authorize("/user/**", "@webSecurity.check(authentication,request)")
}
}Web 安全表达式中的路径变量
有时,能够引用 URL 中的路径变量是件好事。
例如,考虑一个 RESTful 应用程序,它通过 ID 从 URL 路径中查找用户,格式为/user/{userId}.
您可以通过将路径变量放置在模式中来轻松引用它。
例如,如果您有一个名称为webSecurity包含以下方法签名:
-
Java
-
Kotlin
public class WebSecurity {
public boolean checkUserId(Authentication authentication, int id) {
...
}
}class WebSecurity {
fun checkUserId(authentication: Authentication?, id: Int): Boolean {
// ...
}
}您可以使用以下方法参考该方法:
-
Java
-
XML
-
Kotlin
http
.authorizeHttpRequests(authorize -> authorize
.requestMatchers("/user/{userId}/**").access(new WebExpressionAuthorizationManager("@webSecurity.checkUserId(authentication,#userId)"))
...
);<http>
<intercept-url pattern="/user/{userId}/**"
access="@webSecurity.checkUserId(authentication,#userId)"/>
...
</http>http {
authorizeRequests {
authorize("/user/{userId}/**", "@webSecurity.checkUserId(authentication,#userId)")
}
}在此配置中,匹配的 URL 将传入路径变量(并将其转换为 checkUserId 方法)。
例如,如果 URL 是/user/123/resource,则传入的 id 将是123.
方法安全表达式
方法安全性比简单的允许或拒绝规则要复杂一些。 Spring Security 3.0引入了一些新的注释,以便全面支持表达式的使用。
@Pre和@Post注释
有四个注释支持表达式属性,以允许调用前和调用后的授权检查,并支持过滤提交的集合参数或返回值。
他们是@PreAuthorize,@PreFilter,@PostAuthorize和@PostFilter.
它们的使用是通过global-method-securitynamespace 元素:
<global-method-security pre-post-annotations="enabled"/>使用 @PreAuthorize 和 @PostAuthorize 的访问控制
最明显有用的注释是@PreAuthorize它决定了是否可以实际调用方法。
例如(来自联系人示例应用程序)
-
Java
-
Kotlin
@PreAuthorize("hasRole('USER')")
public void create(Contact contact);@PreAuthorize("hasRole('USER')")
fun create(contact: Contact?)这意味着只有角色为“ROLE_USER”的用户才允许访问。 显然,使用传统配置和所需角色的简单配置属性可以轻松实现同样的事情。 但是呢:
-
Java
-
Kotlin
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);@PreAuthorize("hasPermission(#contact, 'admin')")
fun deletePermission(contact: Contact?, recipient: Sid?, permission: Permission?)在这里,我们实际上使用方法参数作为表达式的一部分来决定当前用户是否具有给定联系人的“管理员”权限。
内置的hasPermission()表达式通过应用程序上下文链接到 Spring Security ACL 模块,我们将在下面看到。
您可以按名称作为表达式变量访问任何方法参数。
Spring Security 可以通过多种方式解析方法参数。
Spring Security 使用DefaultSecurityParameterNameDiscoverer以发现参数名称。
默认情况下,将对整个方法尝试以下选项。
-
如果 Spring Security 的
@P注释存在于方法的单个参数上,则将使用该值。 这对于使用 JDK 8 之前的 JDK 编译的接口非常有用,这些接口不包含有关参数名称的任何信息。 例如:-
Java
-
Kotlin
import org.springframework.security.access.method.P; ... @PreAuthorize("#c.name == authentication.name") public void doSomething(@P("c") Contact contact);import org.springframework.security.access.method.P ... @PreAuthorize("#c.name == authentication.name") fun doSomething(@P("c") contact: Contact?)在幕后,这是使用
AnnotationParameterNameDiscoverer可以自定义以支持任何指定注释的 value 属性。 -
-
如果 Spring Data 的
@Param注释存在于该方法的至少一个参数上,则将使用该值。 这对于使用 JDK 8 之前的 JDK 编译的接口非常有用,这些接口不包含有关参数名称的任何信息。 例如:-
Java
-
Kotlin
import org.springframework.data.repository.query.Param; ... @PreAuthorize("#n == authentication.name") Contact findContactByName(@Param("n") String name);import org.springframework.data.repository.query.Param ... @PreAuthorize("#n == authentication.name") fun findContactByName(@Param("n") name: String?): Contact?在幕后,这是使用
AnnotationParameterNameDiscoverer可以自定义以支持任何指定注释的 value 属性。 -
-
如果使用 JDK 8 编译带有 -parameters 参数的源代码,并且使用 Spring 4+,则使用标准 JDK 反射 API 来发现参数名称。 这适用于类和接口。
-
最后,如果代码是使用调试符号编译的,则将使用调试符号发现参数名称。 这不适用于接口,因为它们没有有关参数名称的调试信息。 对于接口,必须使用注释或 JDK 8 方法。
-
Java
-
Kotlin
@PreAuthorize("#contact.name == authentication.name")
public void doSomething(Contact contact);@PreAuthorize("#contact.name == authentication.name")
fun doSomething(contact: Contact?)在这里,我们正在访问另一个内置表达式authentication,即Authentication存储在安全上下文中。您还可以使用表达式principal. 该值通常为UserDetails实例,因此您可以使用类似principal.username或principal.enabled.
使用@PreFilter和@PostFilter进行筛选
Spring Security 支持使用表达式过滤集合、数组、映射和流。这最常在方法的返回值上执行。 例如:
-
Java
-
Kotlin
@PreAuthorize("hasRole('USER')")
@PostFilter("hasPermission(filterObject, 'read') or hasPermission(filterObject, 'admin')")
public List<Contact> getAll();@PreAuthorize("hasRole('USER')")
@PostFilter("hasPermission(filterObject, 'read') or hasPermission(filterObject, 'admin')")
fun getAll(): List<Contact?>使用@PostFilter注释,Spring Security 会迭代返回的集合或映射,并删除所提供表达式为 false 的任何元素。
对于数组,将返回一个包含过滤元素的新数组实例。
名称filterObject引用集合中的当前对象。
如果使用地图时,它将引用当前Map.Entry允许使用filterObject.key或filterObject.value在表达中。
您还可以在方法调用之前进行筛选,使用@PreFilter,尽管这是一个不太常见的要求。
语法是相同的,但如果有多个参数是集合类型,则必须使用filterTarget属性。
请注意,筛选显然不能替代调整数据检索查询。 如果您要过滤大型集合并删除许多条目,那么这可能效率低下。
内置表达式
有一些特定于方法安全性的内置表达式,我们已经在上面看到过这些表达式。
这filterTarget和returnValue值很简单,但使用hasPermission()表达值得仔细研究。
PermissionEvaluator 接口
hasPermission()表达式被委托给PermissionEvaluator.
它旨在在表达式系统和 Spring Security 的 ACL 系统之间架起桥梁,允许您根据抽象权限对域对象指定授权约束。
它对 ACL 模块没有显式依赖关系,因此您可以根据需要将其换成替代实现。
该接口有两种方法:
boolean hasPermission(Authentication authentication, Object targetDomainObject,
Object permission);
boolean hasPermission(Authentication authentication, Serializable targetId,
String targetType, Object permission);直接映射到表达式的可用版本,但第一个参数(Authenticationobject) 未提供。
第一种用于已加载控制访问的域对象的情况。
如果当前用户对该对象具有给定的权限,则表达式将返回 true。
第二个版本用于未加载对象但其标识符已知的情况。
还需要域对象的抽象“类型”说明符,以允许加载正确的 ACL 权限。
这传统上是对象的 Java 类,但不必与权限的加载方式一致。
使用hasPermission()表达式,则必须显式配置PermissionEvaluator在您的应用程序上下文中。
这将看起来像这样:
<security:global-method-security pre-post-annotations="enabled">
<security:expression-handler ref="expressionHandler"/>
</security:global-method-security>
<bean id="expressionHandler" class=
"org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
<property name="permissionEvaluator" ref="myPermissionEvaluator"/>
</bean>哪里myPermissionEvaluator是实现PermissionEvaluator.
通常这将是 ACL 模块的实现,该模块称为AclPermissionEvaluator.
有关更多详细信息,请参阅联系人示例应用程序配置。
方法安全性元注释
您可以利用元注释来确保方法安全,以使您的代码更具可读性。 如果您发现在整个代码库中重复相同的复杂表达式,这将特别方便。 例如,请考虑以下情况:
@PreAuthorize("#contact.name == authentication.name")我们可以创建一个可以使用的元注释,而不是在任何地方重复此作。
-
Java
-
Kotlin
@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
public @interface ContactPermission {}@Retention(AnnotationRetention.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
annotation class ContactPermission元注释可用于任何 Spring Security 方法安全注释。 为了保持符合规范,JSR-250 注解不支持元注解。