spring boot 最佳实践(五)--SpEL

最新推荐文章于 2025-07-29 13:24:17 发布
最新推荐文章于 2025-07-29 13:24:17 发布
阅读量8.4k 收藏 10
点赞数 1
CC 4.0 BY-SA版权
分类专栏: spring-boot 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/swordcenter/article/details/75239878

SpEL 拥有许多特性,包括:

表达式语言支持以下功能

  • 文字表达式
  • 引用Bean属性和方法
  • 类表达式
  • 访问 properties, arrays, lists, maps
  • 布尔和关系运算符
  • 正则表达式
  • 方法调用
  • 关系运算符
  • 参数
  • 调用构造函数
  • 构造Array
  • 内嵌lists
  • 内嵌maps
  • 三元运算符
  • 变量
  • 用户定义的函数
  • 集合投影
  • 集合筛选
  • 模板表达式

基本语法

#{ } 标记会提示Spring 这个标记里的内容是SpEL表达式。
#{rootBean.nestBean.propertiy} “.”操作符表示属性或方法引用,支持层次调用
#{aList[0] } 数组和列表使用方括号获得内容
#{aMap[key] } maps使用方括号获得内容
#{rootBean?.propertiy} 此处"?"是安全导航运算符器,避免空指针异常
#{condition ? trueValue : falseValue} 三元运算符(IF-THEN-ELSE)
#{valueA?:defaultValue} Elvis操作符,当valueA为空时赋值defaultValue

使用SpEL装配Bean

spring支持通过运行期执行的表达式将值装配到Bean的属性或构造器参数中。spring boot默认使用基于注解的配置,@Value注解可以在域,方法和方法/构造器参数中使用来指定一个默认值。

//import org.springframework.beans.factory.annotation.Value;
@Value("#{xxxx}")
private String attribute1;

目前在配置经常使用@Value(“${xxxx}”)
其中$表示获取配置参数

1. 文字表达式

@Value("#{24}")          //整型
@Value("#{'中国'}")       //String
//里面有个单引号,如果去掉会报错。String 类型的字面值可以使用单引号或双引号作为字符串的界定符。
@Value("my name is #{'david'}") //与非SpEL 表达式的值混用
@Value("#{120.4}")        //浮点型数字
@Value("#{true}")         //布尔值

2. 引用Bean属性和方法

@Value("#{beanId}")    //使用Bean ID 将一个Bean 装配到另一个Bean 的属性中
@Value("#{beanId.attribute}") //使用Bean 的引用来获取Bean 的属性
@Value("#{beanId.getSomenthing()}")   //调用引用Bean的方法

3. 类表达式

SpEL使用T() 运算符调用类作用域的方法和常量。

@Value("#{T(java.lang.Math).PI}") 
@Value("#{T(java.lang.Math).random()}") 
@Value("#{T(java.lang.Math).random() * 100.0 }")

4. 访问 properties

spel有两个可用的预定义变量 “systemProperties” 和 “systemEnvironment”。

  • systemProperties — java.util.Properties对象,从运行环境中检索属性。相当于java代码System.getProperty(arg0)
  • systemEnvironment — java.util.Properties对象,检索运行环境的具体属性。相当于java代码System.getenv(arg0)
@Value("#{ systemProperties['user.region'] }")
@Value("#{ systemEnvironment['profile'] }")

使用Spring的表达接口求值

下面的代码使用SpEL API来解析文本字符串表达式 Hello World.

ExpressionParser parser = new SpelExpressionParser();
Expression exp = parser.parseExpression("'Hello World'");
String message = (String) exp.getValue(); // "hello world"

exp = parser.parseExpression("'Hello World'.concat('!')");
message = (String) exp.getValue();// "Hello World!"

模板数据绑定

#用户评分
SCORE=auditInfo.auditInfo==null?"":auditInfo.auditInfo["score"]
#渠道号
CHANNEL_NO=auditInfo.artificialAuditInfo.channelNo
#渠道名称
CHANNEL_NAME=auditInfo.artificialAuditInfo.channelName
Map<String, Expression> expressions = new HashMap<>();
propertis.keySet().forEach(
     k -> expressions.put(k, parser.parseExpression(propertis.getString(k))));
Map<String, Object> target = new HashMap<>();
expressions.keySet().forEach(key -> 
            target.put(key, expressions.get(key).getValue(origin))});

参考

http://itmyhome.com/spring/expressions.html

Springboot中使用spel+自定义注解实现权限控制
蔡定努
06-02 571
*** @author 蔡定努/*** permissionAll()-----只要配置了角色就可以访问* hasPermission("MENU.QUERY")-----有MENU.QUERY操作权限的角色可以访问* permitAll()-----放行所有请求* denyAll()-----只有超级管理员角色才可访问* hasAuth()-----只有登录后才可访问* hasTimeAuth(1,10)-----只有在1-10点间访问。
SpringBoot】官方表达式语言SPEL(Spring Expression Language)全方位学习
墩墩分墩
02-01 6467
**SpEL表达式的默认格式为:`#{expression}`。SpEL表达式以“`#”`开头,表达式主体包围在花括号中。** - 我们通常使用的属性取值表达式(也可称为`属性占位符,格式${expression}`)不可以嵌套SpEL表达式。不过SpEL表达式可以嵌套属性取值表达式,如下: ```java #{${someProperty} + 2} //如果属性“someProperty”的值是2,这个表达式的值就是4。 ```
SpringBoot @Value注解中使用三元表达式进行判断
shadowodahs的博客
09-12 889
SpringBoot 在@Value注解中通过三元表达式动态判断注入值
SpringBoot3】SpEL表达式详细使用说明
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-26 7669
SpELSpring Expression Language)是Spring框架提供的一种功能强大的表达式语言,用于在运行时查询和操作对象。 主要特点和用途包括: 1. 简洁性:SpEL表达式使用简洁的语法,使得在Spring配置和代码中能够更简洁地表达复杂的逻辑。 2. 动态性:SpEL表达式能够在运行时动态地解析和执行,从而提供了更大的灵活性。 3. 强大的功能:SpEL表达式支持各种功能,如方法调用、字符串模板、集合操作、逻辑运算等,使得在Spring配置和代码中能够完成复杂的逻辑处理。
深入解析 Spring SpELSpelExpressionParser 的使用与实践
static_coder的博客
07-29 864
掌握 SpEL 能显著提升开发灵活性,尤其在需要动态配置的场景中(如规则引擎、个性化配置),但务必警惕安全风险,做好防护措施。案例中,可以看到:我们是可以随意修改上下文变量的值的。,回想到之前看到某框架的源码时,也看到类似的技术。对象,支持对象属性访问、方法调用、运算符操作、集合处理等复杂逻辑。简单来说,就是将一个字符串解析成对应的运算或者方法调用。的核心解析器,能够将字符串表达式转换为可执行的。值得说明的是:提取集合的某个属性时,用到的。中有很多实用的工具类,我们可以直接使用。我们一直在借助框架使用着。
springboot利用切面保存操作日志(支持Spring表达式语言(简称SpEL))
qq_57703172的博客
05-08 951
在注解中使用Spring EL表达式,切面解析实现自定义操作日志。/*** 日志实体类,属性对应{@link LogSnipper}注解中的属性*/ @Data@Builder/*** 客户端ip/*** 业务编号(可以是任何标识)/*** 对应{@link LogSnipper}注解中的success或者fail,当方法成功调用时,获取success中的值,反之则获取fail中的值/*** 日志类型/*** 操作者/**
Spring Boot集成SpEL快速入门demo
HBLOG
05-27 550
Spring Expression Language(简称 SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于 Unified EL,但提供了额外的特性,最显著的是方法调用和基本的字符串模板功能。下面是一些常见的例子,更多的可以去官网看详细的文档,这里只给一个基本的入门。访问 properties, arrays, lists, maps。实验目标:实现属性注入文件,lis和进行逻辑运算。以上只是一些关键代码,所有代码请参见下面代码仓库。读取属性文件,然后表达式注入list。
Springboot整合spring-boot-starter-data-elasticsearch
Think_and_work的博客
10-28 1646
spring-data-elasticsearch的查询,相当于原生的es依赖而言,多了一些注解封装、repository类等,但是对于复杂查询还是没有办法很简便,因此便有了第三方的依赖Easy-es的诞生,类似于Mybatis-plus的方式,对于新手对es的使用比较友好,后面会进行讲解最后:我是Walker,一个热爱分享的程序员,希望我的输出能够帮助到你。
Springboot整合ES(2)spring-boot-starter-data-elasticsearch
Think_and_work的博客
10-28 1937
spring-data-elasticsearch的查询,相当于原生的es依赖而言,多了一些注解封装、repository类等,但是对于复杂查询还是没有办法很简便,因此便有了第三方的依赖Easy-es的诞生,类似于Mybatis-plus的方式,对于新手对es的使用比较友好,后面会进行讲解最后:我是Walker,一个热爱分享的程序员,希望我的输出能够帮助到你。
jasypt-spring-boot-starter 3.0.5依赖的pom及jar
05-19
总的来说,jasypt-spring-boot-starter 3.0.5为Java开发者提供了一个高效且安全的方式来管理和使用加密数据,简化了Spring Boot应用中的安全实践。通过深入理解POM文件中的依赖关系和JAR文件中的实现细节,我们可以...
spring-boot-annotation-spel.zip
10-14
压缩包中的文件可能包含示例代码、测试用例以及相关的解释文档,可以帮助你深入理解如何在Spring Boot项目中实践这一技术。仔细研究这些文件,你将能够熟练地运用自定义注解和SPEL表达式来增强你的应用程序。
SpringBoot SpEL语法扫盲与查询手册的实现
08-19
主要介绍了SpringBoot SpEL语法扫盲与查询手册的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
opt-log:基于SpringBootSpring表达式语言 (SpEL)、annotation的操作日志框架
04-22
opt-log 基于SpringBootSpring表达式语言 (SpEL)、annotation的操作日志 简介 使用annotation来标注方法,标记操作内容 使用SpEL来动态生成操作日志内容,使操作日志记录更加详细(记录操作内容ID等关键信息) 同一个方法,不同类型用户(admin,user等)使用时,获取不同的操作者 使用 maven中引入 <dependency> <groupId>kim.hanjie.common</groupId> <artifactId>opt-log</artifactId> <version>0.1.4</version> </dependency> 例子 OptLog annotation public @interface OptLog {
Elasticsearch——spring-boot-starter-data-elasticsearch详解
smart_an的专栏
07-28 2542
Spring Data Elasticsearch是Spring Data项目下的一个子模块。查看 Spring Data的官网:http://projects.spring.io/spring-data/Spring Data 的使命是给各种数据访问提供统一的编程接口,不管是关系型数据库(如MySQL),还是非关系数据库(如Redis),或者类似Elasticsearch这样的索引数据库。从而简化开发人员的代码,提高开发效率。
Springboot 中引入 SpEL,复杂权限控制轻松搞定,非常优雅!
热门推荐
m0_67847535的博客
02-01 2万+
对于在Springboot中,利用自定义注解+切面来实现接口权限的控制这个大家应该都很熟悉,也有大量的博客来介绍整个的实现过程,整体来说思路如下:自定义一个权限校验的注解,包含参数value配置在对应的接口上定义一个切面类,指定切点在切入的方法体里写上权限判断的逻辑但是呢,等到实际用到的时候就傻眼了,为什么呢?在实际的开发中,你会发现,对于权限校验的需求场景是很多的,比如:只要配置了任何角色,就可以访问有某个权限就可以访问放行所有请求只有超级管理员角色才可以访问只有登录后才可以访问。
Spring(SpringBoot) SpEl介绍
杨海吉
07-19 3578
EL表达式大家也许都听说过,但是用Spring作为脚手架的我们,经常在用SpEl表达式,但你真的了解SpEl吗?本文将带你分析学习SpEl表达式
SpringBoot技术实践-SpEL&EL表达式
TianXinCoord的博客
07-23 3635
一、SpringEL-基础介绍 什么是SpringEL(SpEL)Spring3中引入了Spring表达式语言—SpringEL,SpEL是一种强大,简洁的装配Bean的方式 SpringEL可以通过运行期间执行的表达式将值装配到我们的属性或构造函数当中 SpringEL可以调用JDK中提供的静态常量,获取外部Properties文件中的的配置 为什么要使用SpringEL? 平常通过配置文件或Annotaton注入的Bean,其实都可以称为静态性注入 如Bean A中有变量A,它的值需要根据
spring boot实现SPEL表达式
weixin_41463944的博客
01-26 275
spring boot实现SPEL表达式
spring-boot-starter-data-rest 历史漏洞
最新发布
08-19
<think>我们正在查询关于`spring-boot-starter-data-rest`的历史漏洞信息。注意,该starter是Spring Boot中用于快速构建基于RESTful的Spring Data REST应用的模块。漏洞通常出现在其底层依赖(如Spring Framework、Spring Data REST)或传递依赖中。 根据历史漏洞记录,我们重点关注以下方面: 1. **Spring Data REST组件自身漏洞**:如暴露敏感数据、未授权访问等。 2. **Spring Framework核心漏洞**:因为Spring Data REST建立在Spring MVC之上。 3. **序列化库漏洞**:如Jackson(用于JSON处理)的安全问题。 通过CVE数据库和Spring官方安全公告,整理出以下相关漏洞: --- ### 1. **Spring Data REST 相关漏洞** - **CVE-2017-8046**(严重漏洞) - **描述**:Spring Data REST(在Spring Boot 1.5.9之前的版本中)存在远程代码执行(RDE)漏洞。攻击者通过恶意构造的PATCH请求,利用SpEL表达式注入执行任意代码[^1]。 - **影响版本**:Spring Data REST 2.6.9(Ingalls SR9)之前、3.0.0(Kay)之前的版本。 - **修复方案**:升级至Spring Boot 1.5.9+(对应Spring Data REST Ingalls SR9)或2.0.0+(对应Kay版本)[^1]。 - **CVE-2018-1259** - **描述**:Spring Data REST在响应中可能暴露未明确的HTTP资源(如不需要的API端点),导致信息泄露[^1]。 - **修复方案**:升级至Spring Data REST 3.0.8+(Spring Boot 2.0.4+)[^1]。 --- ### 2. **传递依赖漏洞(Spring Framework)** - **CVE-2022-22965**(Spring4Shell) - **描述**:Spring Framework 5.3.0-5.3.17、5.2.0-5.2.19存在远程代码执行漏洞,通过数据绑定的特性可绕过防御。Spring Data REST依赖Spring MVC,因此受影响[^2]。 - **修复方案**:升级Spring Framework至5.3.18+/5.2.20+(Spring Boot 2.6.6+/2.5.12+)[^2]。 - **CVE-2023-20883** - **描述**:Spring Framework 6.0.0-6.0.6、5.3.0-5.3.25存在拒绝服务风险,通过特定HTTP请求可导致服务不可用[^2]。 - **修复方案**:升级至Spring Framework 6.0.7+/5.3.26+(Spring Boot 3.0.5+/2.7.8+)[^2]。 --- ### 3. **Jackson序列化漏洞** - **CVE-2020-25649** - **描述**:Jackson-databind 2.9.10.6之前版本存在反序列化漏洞,攻击者可构造恶意JSON导致服务端远程代码执行。Spring Data REST默认使用Jackson处理JSON[^3]。 - **修复方案**:升级Jackson至2.9.10.6+(Spring Boot 2.3.5+)[^3]。 --- ### 漏洞修复实践 1. **升级Spring Boot版本**: 在`pom.xml`中指定安全版本: ```xml <!-- 针对Spring Boot 2.x用户 --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.7.18</version> <!-- 包含所有关键修复 --> </parent> <!-- 或使用Spring Boot 3.x --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>3.2.0</version> </parent> ``` 2. **配置安全规则**: - 禁用不必要的HTTP方法(如PATCH): ```properties # application.properties spring.data.rest.detection-strategy=ANNOTATED ``` - 启用端点访问控制(集成Spring Security): ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers(HttpMethod.PATCH, "/**").denyAll() // 禁用PATCH .anyRequest().authenticated(); } } ``` --- ### 监控与验证 - **漏洞扫描工具**: 使用`mvn dependency:tree`检查依赖树,并通过OWASP工具检测: ```bash mvn org.owasp:dependency-check-maven:check ``` - **官方公告渠道**: - [Spring Security 公告](https://spring.io/security) - [NVD漏洞数据库](https://nvd.nist.gov) --- ### 相关问题 1. 如何为Spring Data REST接口配置细粒度的访问控制? 2. Spring Boot 3.x中如何迁移Spring Data REST应用? 3. 如何禁用Spring Data REST的特定端点? 4. 使用Jackson时如何避免反序列化漏洞?</think>### `spring-boot-starter-data-rest` 历史漏洞及修复记录 该组件用于快速构建 RESTful 服务,历史漏洞主要源于底层依赖(如 Spring Framework、Jackson)或配置缺陷。以下是关键漏洞及修复方案: --- #### **1. 高风险漏洞记录** ##### **CVE-2017-8046**(远程代码执行)[^1] - **影响版本**:Spring Data REST ≤ 2.6.9 (Spring Boot 1.5.x) - **漏洞原理**: 恶意 PATCH 请求中的 SpEL 表达式注入,可导致任意代码执行。 示例攻击载荷: ```json [{ "op": "replace", "path": "T(java.lang.Runtime).getRuntime().exec('恶意命令')", "value": "" }] ``` - **修复方案**: 升级至 Spring Boot ≥ 1.5.10(Spring Data REST ≥ 2.6.10)或 ≥ 2.0.0。 ##### **CVE-2022-31690**(授权绕过)[^2] - **影响版本**:Spring Security 5.7.x/5.6.x(Spring Boot 2.7.x/2.6.x) - **漏洞原理**: 错误配置 `@PreAuthorize` 注解时,攻击者可绕过权限检查访问敏感 REST 端点。 - **修复方案**: 升级至 Spring Boot ≥ 2.7.3(Spring Security ≥ 5.7.4)。 ##### **Jackson 反序列化漏洞**(CVE-2020-25649)[^1] - **影响版本**:Jackson-databind ≤ 2.9.10.6 - **漏洞原理**: 恶意 JSON 载荷触发 `Gadget` 链,导致远程代码执行。 - **修复方案**: 升级至 Spring Boot ≥ 2.3.5(Jackson ≥ 2.9.10.6)。 --- #### **2. 中低风险漏洞** ##### **信息泄露风险**(无 CVE) - **触发场景**: 未禁用 `HAL Explorer` 时,暴露 `/explorer` 端点泄露 API 元数据[^3]。 - **修复方案**: ```properties # application.properties spring.data.rest.detection-strategy=ANNOTATED # 仅暴露显式注解的端点 spring.hateoas.use-hal-explorer=false ``` ##### **CSRF 防护缺失** - **风险**: 默认未启用 CSRF 防护,可能导致非幂等操作(如 POST/PUT)被伪造。 - **修复方案**: ```java @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse()); } } ``` --- #### **3. 漏洞修复实践指南** 1. **版本升级**(强制): ```xml <!-- Spring Boot 2.7.x (推荐) --> <parent> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-parent</artifactId> <version>2.7.18</version> </parent> ``` 2. **安全配置加固**: - 禁用敏感端点: ```properties management.endpoints.web.exposure.include=health,info ``` - 启用内容协商安全: ```java @Bean public RepositoryRestConfigurer repositoryRestConfigurer() { return new RepositoryRestConfigurer() { @Override public void configureRepositoryRestConfiguration(RepositoryRestConfiguration config) { config.disableDefaultExposure(); // 禁用自动暴露所有仓库 } }; } ``` 3. **漏洞扫描**: ```bash mvn org.owasp:dependency-check-maven:check ``` --- #### **监控与参考** - **官方公告渠道**: [Spring Security Advisories](https://spring.io/security) | [NVD 漏洞数据库](https://nvd.nist.gov) - **关键日志监控**: 检查非常规 HTTP 方法(如 PATCH)的异常请求。 --- ### 相关问题 1. 如何为 Spring Data REST 接口配置细粒度的权限控制? 2. 使用 Spring Boot 3.x 时如何迁移旧版 Data REST 应用? 3. 如何防止 REST 接口的 JSON 参数注入攻击? 4. Spring Data REST 中如何自定义 HATEOAS 链接的安全策略?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值