java 自定义表达式_如何创建用于spring安全表达式语言注释的自定义方法

最新推荐文章于 2022-11-10 10:57:07 发布
最新推荐文章于 2022-11-10 10:57:07 发布
阅读量169 收藏
点赞数
文章标签: java 自定义表达式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42102713/article/details/114078516
版权
本文讨论如何在Spring安全中创建自定义方法以用于表达式语言注解,实现基于方法的授权。通过扩展`SecurityExpressionRoot`和自定义`MethodSecurityExpressionHandler`,可以添加自定义功能,如`@PreAuthorize("@mySecurityService.hasPermission('special')")`。文章提供了解决方案,包括在XML配置中设置自定义bean,并展示了如何在自定义安全服务中实现权限检查方法。
摘要由CSDN通过智能技术生成

问题

我想创建一个类,通过注释添加自定义方法以用于spring安全表达式语言,以进行基于方法的授权。

例如,我想创建一个像'customMethodReturningBoolean'这样的自定义方法,以某种方式使用:

@PreAuthorize("customMethodReturningBoolean()")

public void myMethodToSecure() {

// whatever

}

我的问题是这个。如果可能,我应该创建自定义方法的子类,我将如何在spring xml配置文件中配置它,并且有人给我一个以这​​种方式使用的自定义方法的示例?

#1 热门回答(152 赞)

所提到的技术都不会再起作用了。好像Spring已经花了很大力气来阻止用户覆盖SecurityExpressionRoot。

编辑11/19/14设置Spring使用安全注释:

...

像这样创建一个bean:

@Component("mySecurityService")

public class MySecurityService {

public boolean hasPermission(String key) {

return true;

}

}

然后在你的jsp中做这样的事情:

或者注释方法:

@PreAuthorize("@mySecurityService.hasPermission('special')")

public void doSpecialStuff() { ... }

请记住:如果你使用的是Spring,你必须通过扩展类,重写方法,实现接口等来解决问题......那么你可能做错了什么。它是所有注释和xml,这就是为什么我们如此喜欢Spring而不是(旧版本的)EJB。

此外,你可以在your@PreAuthorize注释中使用Spring Expression Language来访问当前身份验证以及方法参数。

例如:

@Component("mySecurityService")

public class MySecurityService {

public boolean hasPermission(Authentication authentication, String foo) { ... }

}

然后更新你的@PreAuthorize以匹配新方法签名:

@PreAuthorize("@mySecurityService.hasPermission(authentication, #foo)")

public void doSpecialStuff(String foo) { ... }

#2 热门回答(32 赞)

你需要子类化两个类。

首先,设置一个新方法表达式处理程序

myMethodSecurityExpressionHandler将是DefaultMethodSecurityExpressionHandler的子类,覆盖createEvaluationContext(),在MethodSecurityEvaluationContext中设置子类MethodSecurityExpressionRoot。

例如:

@Override

public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) {

MethodSecurityEvaluationContext ctx = new MethodSecurityEvaluationContext(auth, mi, parameterNameDiscoverer);

MethodSecurityExpressionRoot root = new MyMethodSecurityExpressionRoot(auth);

root.setTrustResolver(trustResolver);

root.setPermissionEvaluator(permissionEvaluator);

root.setRoleHierarchy(roleHierarchy);

ctx.setRootObject(root);

return ctx;

}

#3 热门回答(14 赞)

Thanksericacm,但由于以下几个原因它不起作用:

DefaultMethodSecurityExpressionHandler的属性是私有的(反射可见性kludges不合需要)

至少在我的Eclipse中,我无法解析MethodSecurityEvaluationContext对象

不同之处在于我们调用现有的createEvaluationContext方法,然后添加我们的自定义根对象。最后我刚刚返回anStandardEvaluationContextobject类型,因为MethodSecurityEvaluationContext无法在编译器中解析(它们都来自同一个接口)。这是我现在生产的代码。

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler {

// parent constructor

public CustomMethodSecurityExpressionHandler() {

super();

}

/**

* Custom override to use {@link CustomSecurityExpressionRoot}

*

* Uses a {@link MethodSecurityEvaluationContext} as the EvaluationContext implementation and

* configures it with a {@link MethodSecurityExpressionRoot} instance as the expression root object.

*/

@Override

public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) {

// due to private methods, call original method, then override it's root with ours

StandardEvaluationContext ctx = (StandardEvaluationContext) super.createEvaluationContext(auth, mi);

ctx.setRootObject( new CustomSecurityExpressionRoot(auth) );

return ctx;

}

}

这将通过扩展SecurityExpressionRoot替换默认根。在这里,我将hasRole重命名为hasEntitlement:

public class CustomSecurityExpressionRoot extends SecurityExpressionRoot {

// parent constructor

public CustomSecurityExpressionRoot(Authentication a) {

super(a);

}

/**

* Pass through to hasRole preserving Entitlement method naming convention

* @param expression

* @return boolean

*/

public boolean hasEntitlement(String expression) {

return hasRole(expression);

}

}

最后更新securityContext.xml(并确保它从applcationContext.xml引用):

jsr250-annotations="disabled"

secured-annotations="disabled"

pre-post-annotations="enabled">

注意:@Secured注释不会接受此覆盖,因为它通过不同的验证处理程序运行。所以,在上面的xml我禁用它们以防止以后混淆。

KINSLAUGHTER
关注
java 自定义表达式_自定义 Java Lambda
weixin_35543991的博客
02-12 655
用了这么久的 Java,也体验了 Java 8 的 lambda 带来的便捷,但是我一直都是直接用,而从未想过他是如何实现的。比如:为什么在小括号里面可以放一个函数作为参数,自己造一个lambda 应该怎么组织代码?开始自定义 Lambda 表达式只需要一个接口即可,不需要编写实现类@FunctionalInterfaceinterface Greet {void say(String toWho...
java 自定义表达式_表达式语言(含自定义)
weixin_29344293的博客
02-25 777
2. 表达式语言的内置对象使用表达式语言可以直接获取请求参数,可获取页面中某个JavaBean的属性值,获取请求头及获取session属性值等,这些都得益于表达式语言的内置对象。表达式语言包含如下11 个内置对象。pageContext:代表该页面的 pageContext对象,与 JSP 的 pageContext 内置对象相同。pageScope: 用于获取 page 范围的属性值。reque...
java 自定义表达式 表达式解析 QLExpress使用
qq_36364521的博客
04-17 4007
具体使用语法规则可以查看下面地址中文档说明: QLExpress:https://github.com/alibaba/QLExpress <dependency> <groupId>com.alibaba</groupId> <artifactId>QLExpress</artifactId> <version>3.2.0</version
java 自定义表达式_Java中使用Groovy实现自定义表达式解析
weixin_39793105的博客
02-12 467
Groovy作为一种JVM-Based语言,目前普及程度正在提高。本文演示一下在Java类中,通过继承GDK的groovy.lang.Script类如何支持自定义表达式解析功能。输入:表示一行数据的某个map结构。在实际应用中,产生这种结构的最常见场景可能是通过JDBC访问数据库、通过调用WebService服务得到的某行结果集等。目标设定:假设我们希望对输入数据进行某个运算。此处示例中,我们模拟...
java 自定义表达式_EL表达式自定义函数的简单学习
weixin_34792357的博客
02-12 255
定义标签类,里面的方法必须是static静态的方法:packagecom.hanchao.el;importjava.text.SimpleDateFormat;importjava.util.Date;importcom.hanchao.entity.User;/***自定义EL表达式*注意事项:方法必须是static的静态方法★*@authorliweihan(liweiha...
Thymeleaf3自定义表达式
想不出好名字的博客
10-23 3783
1. 简介 在上一篇《Thymeleaf3自定义方言Dialect与处理器》中,记录了使用Thymeleaf3自定义方言和处理器的方法,同时也说到了方言Dialect是处理器与表达式的集合。既然处理器支持自定义,那么推测表达式应该也支持自定义的。但在Thymeleaf的官方tutorials以及article中均未能找到相关的指导与说明,若有人知道官方相关说明的位置,希望能留言或者别的方式告知一下...
使用Spring组合自定义注释 mscharhag操作
08-24
在本文中,我们将深入探讨如何使用Spring框架来组合自定义注释,以便简化代码并提高可读性。自定义注释是一种强大的工具,它允许我们根据项目需求创建自己的元数据,进而实现特定的功能。这里我们将重点讲解如何创建...
cacheable 表达式_详解Spring缓存注解@Cacheable,@CachePut , @CacheEvict使用
weixin_33658509的博客
12-30 738
注释介绍@Cacheable@Cacheable 的作用 主要针对方法配置,能够根据方法的请求参数对其结果进行缓存@Cacheable 作用和配置方法参数解释examplevalue缓存的名称,在 spring 配置文件中定义,必须指定至少一个例如:@Cacheable(value=”mycache”)@Cacheable(value={”cache1”,”cache2”}key缓存的 key,可...
SpringFramework核心技术四:Spring表达式语言知识点(SpEL)
向小凯同学学习
06-27 2910
Spring表达式 Sprng表达式,可以适用于几乎所有的Spring产品中,是一种非常重要的表达式语言,下面我们一起来看看。 一、介绍 Spring Expression Language(简称SpEL)是一种强大的表达式语言,支持在运行时查询和操作对象图。语言语法类似于Unified EL,但提供了额外的功能,特别是方法调用和基本的字符串模板功能。 虽然还有其他几种Java表达式语言可...
spring源码(注释+测试版)
03-23
2. **spring-expressionSpring表达式语言,SpEL)**:SpEL是Spring框架的一部分,允许在运行时查询和操作对象图。它提供了一种强大的表达式语言用于在运行时查询和操作对象图。例如,可以在配置文件中使用SpEL来...
java表达式计算支持自定义运算
07-03
输入计算表达式,输出结果. 支持在运算符枚举类增加新的的自定义运算符,以及自定义运算的实现
《文本计算器》字符串转数学表达式,支持自定义变量.java
05-08
《文本计算器》字符串转数学表达式,如替换变量前:(a+b+2)+x*3+1 替换变量后:(3+2+2)+4*3+1 计算结果:20
表达式计算器的实现
10-12
题目:支持自定义函数的表达式计算. 编程语言:不限,推荐JavaScript. 题目描述: 1. 实现一个表达式运算的模块,该模块的输入为一个字符串格式的数学表达式,输出为字符串格式的运算结果。 2. 该数学表达式支持四则运算和括号,需要考虑运算符优先级。操作数为浮点数。例如,输入“(1+2.1)*3.5”,输出为“10.85”。 3. 该数学表达式支持自定义函数,并且支持用户扩展自定义函数。答题者可以自行设计自定义函数的接口和扩展方式,并且给出两个参考实现。 数学表达式中的自定义函数型为“func(p1, p2, …, pn)”。 假定用户实现了函数“ABS(p1)”用来对某个数求绝对值,那么输入“5*ABS(-2)”,输出应为“10”。 假定用户实现了函数“SUM(p1, p2, p3, p4)”用来对一系列数求和,那么输入“SUM(1,2,3,4)/4”,输出应为“2.5”。
java 自定义表达式_实现一个支持自定义函数的模板表达式
weixin_33007509的博客
02-25 458
public classExpressionParser {public static final String EXP_FUNCTION = "\\$(?[a-zA-Z0-9_]+)\\((?.*?)\\)";public static final String EXP_VARIABLE = "#\\{(?[a-zA-Z0-9_.]+)(\\:(?[a-z]+))?(\\?(?.*?))?\\}...
java自定义栈以及利用自定义栈实现逆波兰表达式与运算
weixin_41090189的博客
09-26 371
一、java自定义栈的实现 栈是限定仅在表位进行删除和插入操作的线性表。栈的运用能很好实现很多算法。java中也有自己实现栈的类:Stack类。 1、自定义栈的实现 这个自定义栈为了方便测试,写在的main方法中,作为内部类。所以用static修饰。 注:1、栈中存储数据类型通过泛型传入 2、栈初始存储大小为10个数据,如果超过会自动扩容,扩容大小为原来的1.5倍 //自定义一个栈 因为是在...
深入java 定义正则表达式
yabay2208的博客
09-18 2664
这篇文章总结java1.4之后加入的正则表达式,总结他的使用。更多的源代码请访问我的github:https://github.com/yangsheng20080808/deepIntoJava本文分为3大部分 正则表达式的通用定义规则 正则表达式定义的例子 附加常用的匹配例子 正则表达式的通用定义规则使用正则表达式我们只要关心一个类即可:java.util.regex.Pattern 摘抄自官
SpringSecurity表达式
yanshendeyinji的博客
10-20 324
1前提配置: 或xml方式 2web安全表达式 (1) hasRole, hasAnyRole (2) hasAuthority, hasAnyAuthority (3)permitAll, denyAll (4) isAnonymous, isRememberMe, isAuthenticated, isFullyAuthenticated (5) principal, authentication (6) hasPermission 3这些表达式负责定义对应用程序中特定URL或方法的访问控制或授权
自定义表达式解析器
weixin_34126557的博客
01-09 690
解析器: import java.lang.reflect.Field; import java.lang.reflect.InvocationTargetException; import java.util.ArrayList; import java.util.List; import java.util.regex.Pattern; import javax.scrip...
SpringSecurity Oauth2 - 09 自定义SpEL权限表达式
你今天真好看呀
11-10 565
*** MethodSecurityExpressionOperations 接口方法的属性/*** 添加一个新的方法,这个方法就是我们自定义的权限表达式} /*** 构造方法} /*** 下面的方法都是 MethodSecurityExpressionOperations 接口中的实现方法,没有更改} }} }
给我一段springboot中自定义表达式的例子
最新发布
04-26
首先,在我们的Spring Boot应用程序中,我们定义了一个自定义表达式: ``` @Expression("isVip(#userId)") public boolean isVipUser(String userId) { // check if user is vip } ``` 然后,我们在我们的代码中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值