Spring Data 集成

Spring Security 提供了与 Spring Data 的集成,允许在查询中引用当前用户。 在查询中包含用户不仅很有用,而且是支持分页结果所必需的,因为对结果进行后续过滤将无法实现良好的扩展性。spring-doc.cadn.net.cn

Spring Data 与 Spring Security 配置

要使用此支持,请添加 org.springframework.security:spring-security-data 依赖,并提供一个类型为 SecurityEvaluationContextExtension 的 Bean:spring-doc.cadn.net.cn

@Bean
SecurityEvaluationContextExtension securityEvaluationContextExtension() {
	return new SecurityEvaluationContextExtension();
}
@Bean
fun securityEvaluationContextExtension(): SecurityEvaluationContextExtension {
	return SecurityEvaluationContextExtension()
}

在 XML 配置中,这将如下所示:spring-doc.cadn.net.cn

<bean class="org.springframework.security.data.repository.query.SecurityEvaluationContextExtension"/>

@Query 中的安全表达式

现在你可以在查询中使用 Spring Security 了:spring-doc.cadn.net.cn

public interface MessageRepository extends PagingAndSortingRepository<Message,Long> {
	@Query("select m from Message m where m.to.id = ?#{ principal?.id }")
	Page<Message> findInbox(Pageable pageable);
}
interface MessageRepository : PagingAndSortingRepository<Message,Long> {
	@Query("select m from Message m where m.to.id = ?#{ principal?.id }")
	fun findInbox(pageable: Pageable): Page<Message>
}

此检查用于判断 Authentication.getPrincipal().getId() 是否等于 Message 的接收者。 请注意,本示例假设您已将主体(principal)自定义为一个具有 id 属性的对象。 通过暴露 SecurityEvaluationContextExtension Bean,所有通用安全表达式均可在查询中使用。spring-doc.cadn.net.cn