那些遇到过的问题

如何使用自定义验证规则扩展 Spring Security 的 @Preauthorize?

rel*_*ood 3 spring-security jwt

Spring Security 提供了一些方便的方法控制注解:

@PreAuthorize("hasRole('ADMIN')")
@PreAuthorize("hasAuthority('ROLE_ADMIN')")
@PreAuthorize("hasPermission('ADD')")
Run Code Online (Sandbox Code Playgroud)

我想用一些自定义方法来扩展它,比如 

 @PreAuthorize("hasCompany('XX')")
Run Code Online (Sandbox Code Playgroud)

其验证数据应来自 JWT 令牌。

任何人都可以帮忙吗?

won*_*hee 5

有几种方法可以做到,但@Andrew 提到的会更容易。只是指出你说你想检查你的 JWT 令牌是否有特定的公司“XX”,那么它将是

@PreAuthorize("@yourBeanName.customMethod(authentication)")

在 yourBeanName 实例中,您需要实现一个方法来从中提取公司信息并比较这两者,

或者,也许你可以做类似的事情

@PreAuthorize("#oauth2.hasCompany('XX')")

与普通 SpringEL 可以使用 oauth2 访问令牌执行的操作相同。

要做到这一点,

  1. 您需要实现自己的 DefaultMethodSecurityExpressionHandler (检查 OAuth2MethodSecurityExpressionHandler 进行比较)
  2. 并且当您实现 createEvaluationContextInternal() 方法时,您需要新的 OAuth2 表达式处理程序,而不是 OAuth2SecurityExpressionMethods,因为它没有“hasCompany()”自定义方法。只需创建一个扩展 OAuth2SecurityExpressionMethods 的新类并添加 hasCompany() 方法,并将其插入新的 DefaultMethodSecurityExpressionHandler。

归档时间:

查看次数:

3896 次

最近记录:

6 年,11 月 前
相关归档
Spring Security 3.0-自定义基本的http身份验证对话框 6
如何禁用tomcat 7控制台调试信息 6
在客户端应用程序中存储用户标识以获取API请求 6
Passport JWT Strategy not getting called 6
Gmail API突然停止使用[错误:unauthorized_client] 5
AWS Cognito JWT 身份验证适用于 ID 令牌,但不适用于访问令牌?返回 401 5
使用自己的登录表单重定向太多 - Spring Security 4
如何在客户端(vue.js)中实现自动刷新? 4
Spring 安全的基础知识 1
注销不适用于 Spring Boot 和 Spring Security 0
难疑归档
如何禁用文本选择突出显示? 4937
Python中追加与扩展列表方法的区别 3119
如何更改一个特定提交的提交作者? 1949
轻松获取最新的git子模块 1748
为什么在C++中读取stdin的行比Python要慢得多? 1738
如何删除GitHub上的提交? 1619
获取JavaScript数组中的所有唯一值(删除重复项) 1273
有条件地申请课程的最佳方式是什么? 1172
我可以将多个MySQL行连接到一个字段中吗? 1143
查找包含具有指定名称的列的所有表 - MS SQL Server 1090