java - @PreAuthorize 中的自定义类主体-6ren

java - @PreAuthorize 中的自定义类主体

转载作者：行者123 更新时间：2023-11-30 05:53:48

24

4

更新(2012 年 4 月 17 日):结果是这样的。

根上下文.xml:

<context:annotation-config/>
<context:component-scan base-package="com.grsnet.qvs.controller.web"/>  
<security:global-method-security pre-post-annotations="enabled" />
<bean id="permissionManager" class="com.grsnet.qvs.auth.PermissionManager"/>

权限管理器.java

package com.grsnet.qvs.auth;

import com.grsnet.qvs.model.Benutzer;

public class PermissionManager {

public PermissionManager() {}

public boolean hasPermissionU01(Object principal, Integer permissionLevel) {
    return ((Benutzer)principal).getPermission().getU_01() >= permissionLevel;
}
}

Controller :

@PreAuthorize("@permissionManager.hasPermissionU01(principal, 1)")
@RequestMapping(value = "/u01", method = RequestMethod.GET)
public String listU01(HttpServletRequest request, Map<String, Object> map) throws Exception {
    setGridFilters(map);
    return "u01panel";      
}

我在 PermissionManager.hasPermissionU01 中设置了断点。似乎我的安全注释被忽略了。

这是什么原因？我的错误在哪里？

谢谢。

更新结束

经过数小时的谷歌搜索后，我不得不在这里提问。我有

Spring MVC 应用
自定义用户详细信息服务

自定义 UserDetails 类

public class Benutzer extends User implements UserDetails {
...
  private Permission permission = null;
...
}

权限类，不是很好实现，但我必须使用它。

public class Permission {
... 
  private Integer u_01 = 0;
...
}

控制者

@Controller 
public class U01Controller {

    @RequestMapping(value = "/u01", method = RequestMethod.GET)
    public String listU01(HttpServletRequest request, Map<String, Object> map) throws Exception {

我的任务是保护整个 Controller 并保护内部方法。我想写一些这样的:

@PreAuthorize("principal.permission.u_01>0")
public class U01Controller {

和

@RequestMapping(value = "/u01", method = RequestMethod.GET)
@PreAuthorize("principal.permission.u_01=2")
public String listU01(HttpServletRequest request, Map<String, Object> map) throws Exception {

ACL 似乎使用 UserDetails 接口(interface)来访问主体。是否可能在 ACL 中进行某种类型转换？

@PreAuthorize("(com.grsnet.qvs.model.Benutzer)principal.permission.u_01=2")

提前致谢。

最佳答案

虽然我认为您可能可以做到这一点(您刚刚尝试过吗？)但在我看来，最好的方法是创建另一个知道如何做出权限决定的类。具体来说，可以这样做:

public class Decision {
    private Decision() {} // no instance, please

    // Type is probably a bit too wide...
    static boolean mayList(Object principal) {
        return ((com.grsnet.qvs.model.Benutzer)principal).permission.u_01 == 2;
    }

    // etc...
}

那么你的@PreAuthorize可以这样写:

@PreAuthorize("Decision.mayList(principal)")

如果决策过程更复杂，那么您将开始使用 bean 来进行决策。然后，因为这是 Spring EL，您将编写(假设您委托(delegate)给 decider bean):

@PreAuthorize("@decider.mayList(principal)")

(当然，我上面的小Decider类绝对不是bean……)

关于java - @PreAuthorize 中的自定义类主体，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/10185400/

24

4

0

文章推荐： java - 使用 JAXB 解码 XML，其中 SOAP 信封是子元素

文章推荐： java - 如何使用 Guava Multimap 的 replaceValues 方法？

文章推荐： Java - 远程文件浏览器

文章推荐： java - Java的 "System.out.println()"什么时候重载了？

javascript - 无法读取未定义的属性“主体”
我试图将护照逻辑放入 Controller 文件中，但问题是当我将逻辑放入 Controller 中时，它告诉我“无法读取未定义的属性“主体””，但是当我将代码移至索引时，所有内容都会路由向右走 in
Javascript 主体 OnClick
我正在学习 Javascript，我正在尝试创建一个简单的下拉菜单。我想要的功能的一个例子可以在谷歌主页的顶部菜单中看到，带有“更多”和“设置”下拉菜单。具体来说，当您单击关闭菜单时，菜单会消失。我
swagger - ServiceStack Swagger 主体
我正在努力让 Swagger 正确呈现我的 ServiceStack 服务。我希望看到一个 UserId 字符串作为表单参数，一个 PrivateCustomer 对象作为主体参数，但是尽管 Use
security - 检索 Shiro 主体
注意:由于随后的研究，这个问题已经完全重组。我正在尝试从 Shiro 的主题 PrincipalCollection 中检索值.我在集合中添加了两个主体。 Username和 UUID .当我试图记
java - 如何扩展 OAuth2 主体
我们正在开发一个将 OAuth 2 用于两个用例的应用程序: 访问后端微服务(使用 client_credentials) 验证应用程序的用户(使用 authorization_code ，因此将用户
c# - 在运行时更改表达式委托(delegate)主体？
我有这段代码生成一个将 myNumber 乘以 5 的委托(delegate) ParameterExpression numParam = Expression.Parameter(typeof(i
javascript - 来自变量的 Jquery 主体
我有一些jquery， $( document ).ready(function() { body=$(body).html; $("html").html(body); }); 这应
java - 在抛出异常时配置 ResponseEntity 主体
我创建了一个通用异常 DTO，它也扩展了 RuntimeException。通过这种方式，可以在应用程序中使用它，也可以将其用作 DTO。问题是当我将 DTO 应用于 ResponseEntity 构
typescript - 动态设置 HttpParams() 主体
在 Angular 5 HttpClient 中，我可以通过这种方式设置 HttpParams()。 const body = new HttpParams() .set('email', '
java - 获取具有属性的 RabbitMQ 主体
我正在从 RabbitMQ 读取数据，如下所示: connection = factory.newConnection(); ch = connection.createChannel() ; Str
java - 改造不同的调用和响应 json 主体
如何使用不同类型的调用和响应主体来改造 PUT？我有一个错误限制。类型必须相同 and 。响应bodie可以包含int值，但call不应该，因为当我用int值初始化CallBody对象时，它已经包
dynamic - 如何在运行时动态修改 proc 主体？
原则上我想做这样的事情: #grab some value from outer source (i.e. file or list defined by another programer) set
java - 如何将动画应用到 box2d 主体？
我知道如何使用TextureRegions 创建动画并将其应用于非box2d 游戏中的对象。但是在 libgdx 的 box2d 中，我不知道该怎么做。在CocosD2中，Sprite对象中有run
c# - 在运行时更改表达式委托(delegate)主体？
我有这段代码生成一个将 myNumber 乘以 5 的委托(delegate) ParameterExpression numParam = Expression.Parameter(typeof(i
java - 无法完成类(class)主体
我已经计算了花括号的数量，但无法弄清楚为什么类主体不完整。每次我试图修复类(class)时，都会把整个类(class)弄乱。问题出在代码中的最后一个类。最后一个花括号给我带来了类里面的麻烦。我正在使用
c++ - 如何在不对其施加力的情况下旋转 Box2D 主体？
有人知道吗？我只能看到 ApplyTorque 和 SetAngularVelocity，我只想在将对象添加到模拟之前旋转对象，例如:所以我有一个 crate 倾斜靠在墙上，另一个 crate 是平的
java - 将图像绘制到 Box2D 主体
我可以获得如何让图像出现在 box2d 主体上的简单答案吗？我尝试为图像和主体创建 x 和 y int，但是一旦主体移动，图像就会保持静态。如果您确实回答，请尽可能解释一下代码。如果您对我的完整源代码
java - 如何反复用纹理填充 libgdx 主体？
我知道我可以通过使用 PolygonRegion 来做到这一点，但问题是我使用 scene2d.Stage 和几个 Actor 。您可能知道阶段使用 SpriteBatch 而我无法渲染 Polygo
JavaScript 主体 onunload 不起作用
您好，我有以下代码: function redirect(){ window.location.href='logged_out_chat.php'; } ...在我的标题和以下正文标记中:
swift - SKPhysicsContact 主体，无法更改属性
我在 didBegin(contact:) 中触发了 SpriteKit 物理接触。我为要移出屏幕的 Dot 对象的实例抓取物理体，但是当我尝试像这样更改其位置时，没有任何反应: 第一种方法 /* I

首页

博学

6Ren·AI

商城

java - @PreAuthorize 中的自定义类主体