Spring Security 表示式(Expressions) - hasRole示例

程式猿Knight發表於2019-05-19

SpringExpress

1.概述

Spring Security使用強大的Spring Expression Language（SpEL）提供各種各樣的表達式。大多數這些Security表示式是針對上下文物件（當前經過身份驗證的主體）進行工作的.

這些表示式的評估由SecurityExpressionRoot執行 - 它提供了Web安全性和方法級安全性的基礎。

Spring Security 3.0中引入了使用SpEL表示式作為授權機制的能力，並在Spring Security 4.x中繼續使用，有關Spring Security中表示式的完整列表，請檢視本指南。

2.Web授權

Spring Security提供兩種型別的Web授權 - 基於URL保護整頁，並根據安全規則有條件地顯示JSP頁面的各個部分。

2.1.Full Page授權示例

通過為http元素啟用表示式，可以按如下方式保護URL模式：

<http use-expressions = "true">
    <intercept-url pattern="/admin/**" access="hasRole('ROLE_ADMIN')" />
    ...
</http>

使用Java配置：

@Configuration
@EnableWebSecurity
public class SecSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
          .authorizeRequests()
          .antMatchers("/admin/**").hasRole("ADMIN");
    }
    ...
}

Spring Security會自動為任何角色新增字首ROLE_。

此處使用hasRole表示式來檢查當前經過身份驗證的主體是否具有指定的許可權。

2.2.在頁面授權示例

第二種Web授權基於對Security表示式的評估有條件地顯示JSP頁面的某些部分。

讓我們在pom.xml中為Spring Security JSP taglib支援新增所需的依賴項：

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>5.0.5.RELEASE</version>
</dependency>

必須在頁面上啟用taglib支援才能使用Security名稱空間：

<%@ taglib prefix="security"
  uri="http://www.springframework.org/security/tags" %>

現在可以在頁面上使用hasRole表示式，當頁面渲染時，基於經過身份驗證的人顯示/隱藏HTML元素.

<security:authorize access="hasRole('ROLE_USER')">
    This text is only visible to a user
    <br/>
</security:authorize>
<security:authorize access="hasRole('ROLE_ADMIN')">
    This text is only visible to an admin
    <br/>
</security:authorize>

3.方法級別授權示例 - @PreAuthorize

通過使用註釋，Security表示式還可用於在方法級別保護業務功能。

注釋@PreAuthorize和@PostAuthorize（以及@PreFilter和@PostFilter）支援Spring Expression Language（SpEL）並提供基於表示式的訪問控制。

首先，為了使用方法級安全性，我們需要使用@EnableGlobalMethodSecurity在安全性配置中啟用它：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ...
}

等效的XML配置：

<global-method-security pre-post-annotations="enabled" />

然後，我們可以使用Spring @PreAuthorize註釋來保護方法：

@Service
public class FooService {
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public List<Foo> findAll() { ... }
    ...
}

現在，只有具有ADMIN角色的使用者才能成功呼叫findAll方法。

請注意，Pre和Post註釋是通過代理進行評估和強制執行的 - 如果使用CGLIB代理，則不能將類和公共方法宣告為final。

4.程式設計檢查角色

如果請求物件可用，還可以在原始Java程式碼中以程式設計方式檢查使用者許可權：

@RequestMapping
public void someControllerMethod(HttpServletRequest request) {
    request.isUserInRole("someAuthority");
}

當然，不訪問請求，也可以簡單的手動校驗有特殊許可權的已認證通過的使用者。可以通過各種方式從Spring Security上下文中獲取用戶。

5.總結

本教程簡要介紹了一般使用Spring Security Expressions，特別是hasRole表示式 - 快速介紹如何保護應用程式的各個部分。

有關Web授權示例，請檢視此Github簡單教程。方法級安全性示例也在GitHub上。

Spring Security原始碼分析十三：Spring Security 基於表示式的許可權控制
2018-01-31
Spring原始碼
【譯】節選–揭祕命名函式表示式（Named function expressions ）
2019-02-20
函式FunctionExpress
【譯】節選--揭祕命名函式表示式（Named function expressions ）
2018-10-31
函式FunctionExpress
spring security之httpSecurity使用示例
2015-06-03
SpringHTTP
C#12中的Collection expressions（集合表示式語法糖）
2023-11-20
C#Express
Cron表示式介紹與示例
2023-04-17
Spring cron 表示式
2016-11-05
Spring
Java 8 lambda 表示式10個示例
2018-03-30
Java
Spring Security實現基於RBAC的許可權表示式動態訪問控制
2022-04-19
Spring
Spring（23）——SPEL表示式（四）
2017-09-18
Spring
Spring Security
2022-05-01
Spring
Java正規表示式的語法與示例
2018-08-02
Java
10個Java 8 Lambda表示式經典示例
2015-08-03
Java
Spring Security原始碼分析八：Spring Security 退出
2019-03-02
Spring原始碼
Spring Boot —— Spring Security
2024-05-22
Spring Boot
Spring EL表示式使用詳解
2024-08-30
Spring
Spring Security原始碼分析九：Spring Security Session管理
2019-03-04
Spring原始碼Session
文章 | 吃透 <正規表示式>（理論+多圖示例）
2020-01-13
【收藏】常用JavaScript正規表示式彙編與示例
2019-04-26
JavaScript
JS基礎教程——正規表示式示例(推薦)
2022-03-16
JS
Spring Security 上
2021-05-06
Spring
初探Spring Security
2021-08-29
Spring
Spring Security（二）
2019-01-11
Spring
spring security（一）
2020-12-13
Spring
Spring Security（6）
2022-11-27
Spring
Spring Security（7）
2022-11-29
Spring
Spring Security（8）
2022-12-01
Spring
Spring Security + JWT
2022-12-21
SpringJWT
Spring Boot Security
2018-06-08
Spring Boot
Spring Security研究
2012-07-27
Spring
Spring Security原始碼分析七：Spring Security 記住我
2018-01-18
Spring原始碼
Spring security（四）-spring boot +spring security簡訊認證+redis整合
2019-06-29
Spring BootRedis
如何從Spring Security 5遷移到Spring Security 6/Spring Boot 3
2024-03-12
Spring Boot
Spring Boot整合Spring Security
2018-12-18
Spring Boot
說說 Spring 表示式語言（SpEL）中的各種表示式型別
2019-03-03
Spring型別
Spring Security 實戰乾貨：分散式物件SharedObject
2021-01-28
Spring分散式物件Object
正規表示式實現字元的模糊匹配功能示例
2022-03-14
字元
Spring Security原始碼分析一：Spring Security認證過程
2018-01-03
Spring原始碼