Rob*_*unt 7 java security spring spring-mvc spring-security
我有一个Spring MVC应用程序,它提供了一个视图,显示了一个Customer实体的所有字段,如名称,地址,电话号码等.应用程序具有各种角色,如ROLE_USER和ROLE_ADMIN.用户ROLE_USER只能看到客户名称,用户ROLE_ADMIN可以看到所有客户字段.
目前我实现这一点的方式是使用Thymeleaf视图,该视图利用SpringSecurityDialect根据用户的角色限制对某些字段的访问:
<th:block sec:authorize="hasRole('ROLE_ADMIN')">
<div th:text="${customer.phoneNumber}" />
</th:block>
虽然这种方法非常好,但感觉不对,很难测试.我想针对控制器编写测试,控制器使用具有不同角色的主体调用控制器方法,例如testViewCustomerAsRoleAdmin和testViewCustomerAsRoleUser.这是无法验证的,因为控制器将a返回Customer到完全填充的视图,并且每个字段都可通过getter访问.
我所追求的是实体级别的某种字段级安全性,我可以使用Spring Security注释:
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String getPhoneNumber()
{
return phoneNumber;
}
AccessDeniedException如果委托人未经授权,那么当试图访问该字段时,这将是理想的.
泽西岛项目似乎有这种被提到的概念在这里,这里和一个例子在这里.但它似乎仅限于基于角色的安全性,而不是提供的完整SpEL支持@PreAuthorize
有没有办法或使用Spring Security实现这种方式,我知道安全上下文或SpEL评估上下文在实体中不可用,因为它们不是Spring管理的.如果没有,是否还有其他方法可以让我实现同样的目标?
编辑:
我不知道内部的Spring Security框架,但似乎可以在ApectJ模式下使用Spring AOP来完成域(实体)类的方法.然后,这将是获取AccessDecisionManager并传递认证(可能从中获得SecurityContextHolder)以及域类方法(如果存在)上的注释内容的情况.有没有人有做这种事情的经验?
我已经设法在 AspectJ 模式下使用 Spring AOP 解决了该问题。如果启用 AspectJ 模式并执行编译时或加载时编织,各种 Spring 注释(例如@Transactional和 )@PreAuthorize将适用于任何非 Spring 托管类,这里有一个非常好的示例:https://github.com/spring-projects /spring-security/tree/4.0.1.RELEASE/samples/aspectj-jc
您需要确保spring-security-aspects您的项目(或插件,如果您使用编译时编织)具有依赖项以启用注释的@Secured编织。尽管评论中将AnnotationSecurityAspect该类描述为:
使用适用于 JDK 1.5+ 的 Spring Security @Secured 注释的具体 AspectJ 方面。
该类实际上编织了其他 Spring 注释,包括@PreAuthorize、和。@PreFilter@PostAuthorize@PostFilter
| 归档时间: |
|
| 查看次数: |
4375 次 |
| 最近记录: |