如果您想在Spring Security方法授权中使用一些复杂的逻辑进行授权,则可以调用任何bean的方法。
顺便说一句,如果您想正确添加自定义身份验证,则实现PermissionEvaluator可能是合法的方法。
本文很容易理解,并详细介绍了PermissionEvaluator的实现。
如果要为扩展框架开发添加通用评估器,建议使用此方法。
https://www.codeflow.site/ja/article/spring-security-create-new-custom-security-expression
这一次,您可以使用更简单的方法来编写程序。
在控制器端
上进行预授权定义
Controller.java
1 2 3 4 | @PreAuthorize("@customPreAuthorizer.belongGroup(#groupId, authentication.principal)") @RequestMapping("/group/{groupId}/list") public String list(Model model, @PathVariable("groupId") Long groupId) { } |
Bean定义
CustomPreAuthorizer.java
1 2 3 4 5 6 7 | @Component public class CustomPreAuthorizer { public boolean belongGroup(Long groupId, UserDetails userDetails) { // ここで独自認可を実装。実行を許可する場合にtrueを返す。 return true; } } |
评论
您可以通过在
PreAuthorize表达式的Bean名称开头添加@来引用注册为组件的Bean。
可以将
认证用户的用户信息作为参数传递给
如果传递给
PreAuthorize中的参数的描述是多余的,则可以通过在方法中调用SecurityContext获得相同的内容,因此可以在方法中对其进行检索。
CustomPreAuthorizer.java
1 2 3 4 5 6 7 | @Component public class CustomPreAuthorizer { public boolean belongGroup(Long groupId) { var userDetails = (UserDetails)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); return true; } } |
之后,如果扩展UserDetails并在登录时拥有必要的信息,则可以实现并提供扩展的原始授权。