|
对于最新的稳定版本,请使用 Spring Security 6.4.1! |
方法安全性
从版本 2.0 开始, Spring Security 大大改进了对向服务层方法添加安全性的支持。
它提供对 JSR-250 注释安全性以及框架的原始注释的支持。
从 3.0 开始,您还可以使用新的基于表达式的注释。
你可以将安全性应用于单个 bean,使用该元素来装饰 bean 声明,或者你可以使用 AspectJ 样式的切入点在整个服务层中保护多个 bean。@Securedintercept-methods
EnableMethodSecurity
在 Spring Security 5.6 中,我们可以在任何实例上使用 Comments 来启用基于 Comments 的安全性。@EnableMethodSecurity@Configuration
这在许多方面都有所改进。:@EnableGlobalMethodSecurity@EnableMethodSecurity
-
使用简化的 API,而不是元数据源、配置属性、决策管理器和投票者。 这简化了重用和定制。
AuthorizationManager -
支持直接基于 bean 的配置,而不是要求扩展来自定义 bean
GlobalMethodSecurityConfiguration -
使用原生 Spring AOP 构建,去除抽象并允许您使用 Spring AOP 构建块进行自定义
-
检查冲突的注释以确保安全配置明确
-
符合 JSR-250
-
启用 、 、 、 和 默认情况下
@PreAuthorize@PostAuthorize@PreFilter@PostFilter
|
对于早期版本,请阅读 @EnableGlobalMethodSecurity 的类似支持。 |
例如,以下内容将启用 Spring Security 的 Comments:@PreAuthorize
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity
public class MethodSecurityConfig {
// ...
}@EnableMethodSecurity
class MethodSecurityConfig {
// ...
}<sec:method-security/>然后,向方法添加注释(在类或接口上)将相应地限制对该方法的访问。
Spring Security 的本机 Comments 支持为该方法定义了一组属性。
这些将被传递给 ,以便它做出实际决定:DefaultAuthorizationMethodInterceptorChain
-
Java
-
Kotlin
public interface BankService {
@PreAuthorize("hasRole('USER')")
Account readAccount(Long id);
@PreAuthorize("hasRole('USER')")
List<Account> findAccounts();
@PreAuthorize("hasRole('TELLER')")
Account post(Account account, Double amount);
}interface BankService {
@PreAuthorize("hasRole('USER')")
fun readAccount(id : Long) : Account
@PreAuthorize("hasRole('USER')")
fun findAccounts() : List<Account>
@PreAuthorize("hasRole('TELLER')")
fun post(account : Account, amount : Double) : Account
}您可以使用以下方法启用对 Spring Security 注释的支持:@Secured
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity(securedEnabled = true)
public class MethodSecurityConfig {
// ...
}@EnableMethodSecurity(securedEnabled = true)
class MethodSecurityConfig {
// ...
}<sec:method-security secured-enabled="true"/>或 JSR-250 使用:
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity(jsr250Enabled = true)
public class MethodSecurityConfig {
// ...
}@EnableMethodSecurity(jsr250Enabled = true)
class MethodSecurityConfig {
// ...
}<sec:method-security jsr250-enabled="true"/>自定义授权
Spring Security 的 、 、 和 附带 具有丰富的基于表达式的支持。@PreAuthorize@PostAuthorize@PreFilter@PostFilter
如果需要自定义表达式的处理方式,可以公开 custom ,如下所示:MethodSecurityExpressionHandler
-
Java
-
Kotlin
-
Xml
@Bean
static MethodSecurityExpressionHandler methodSecurityExpressionHandler() {
DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
handler.setTrustResolver(myCustomTrustResolver);
return handler;
}companion object {
@Bean
fun methodSecurityExpressionHandler() : MethodSecurityExpressionHandler {
val handler = DefaultMethodSecurityExpressionHandler();
handler.setTrustResolver(myCustomTrustResolver);
return handler;
}
}<sec:method-security>
<sec:expression-handler ref="myExpressionHandler"/>
</sec:method-security>
<bean id="myExpressionHandler"
class="org.springframework.security.messaging.access.expression.DefaultMessageSecurityExpressionHandler">
<property name="trustResolver" ref="myCustomTrustResolver"/>
</bean>|
我们使用方法公开,以确保 Spring 在初始化 Spring Security 的方法安全类之前发布它 |
此外,对于基于角色的授权,Spring Security 会添加一个默认前缀,该前缀在计算 .ROLE_hasRole
-
Java
-
Kotlin
-
Xml
@Bean
static GrantedAuthorityDefaults grantedAuthorityDefaults() {
return new GrantedAuthorityDefaults("MYPREFIX_");
}companion object {
@Bean
fun grantedAuthorityDefaults() : GrantedAuthorityDefaults {
return GrantedAuthorityDefaults("MYPREFIX_");
}
}<sec:method-security/>
<bean id="grantedAuthorityDefaults" class="org.springframework.security.config.core.GrantedAuthorityDefaults">
<constructor-arg value="MYPREFIX_"/>
</bean>|
我们使用方法公开,以确保 Spring 在初始化 Spring Security 的方法安全类之前发布它 |
自定义授权管理器
方法授权是方法授权之前和方法之后授权的组合。
|
Before-method 授权在调用方法之前执行。
如果该授权拒绝访问,则不会调用该方法,并会引发
方法后授权在调用方法之后,但在方法返回给调用方之前执行。
如果该授权拒绝访问,则不会返回该值,并会引发 |
要重新创建默认情况下添加的功能,您需要发布以下配置:@EnableMethodSecurity
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity(prePostEnabled = false)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor preFilterAuthorizationMethodInterceptor() {
return new PreFilterAuthorizationMethodInterceptor();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor preAuthorizeAuthorizationMethodInterceptor() {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor postAuthorizeAuthorizationMethodInterceptor() {
return AuthorizationManagerAfterMethodInterceptor.postAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor postFilterAuthorizationMethodInterceptor() {
return new PostFilterAuthorizationMethodInterceptor();
}
}@EnableMethodSecurity(prePostEnabled = false)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun preFilterAuthorizationMethodInterceptor() : Advisor {
return PreFilterAuthorizationMethodInterceptor();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun preAuthorizeAuthorizationMethodInterceptor() : Advisor {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun postAuthorizeAuthorizationMethodInterceptor() : Advisor {
return AuthorizationManagerAfterMethodInterceptor.postAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun postFilterAuthorizationMethodInterceptor() : Advisor {
return PostFilterAuthorizationMethodInterceptor();
}
}<sec:method-security pre-post-enabled="false"/>
<aop:config/>
<bean id="preFilterAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.PreFilterAuthorizationMethodInterceptor"/>
<bean id="preAuthorizeAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.AuthorizationManagerBeforeMethodInterceptor"
factory-method="preAuthorize"/>
<bean id="postAuthorizeAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.AuthorizationManagerAfterMethodInterceptor"
factory-method="postAuthorize"/>
<bean id="postFilterAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.PostFilterAuthorizationMethodInterceptor"/>请注意,Spring Security 的方法安全性是使用 Spring AOP 构建的。
因此,根据指定的顺序调用拦截器。
这可以通过调用拦截器实例来自定义,如下所示:setOrder
-
Java
-
Kotlin
-
Xml
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor postFilterAuthorizationMethodInterceptor() {
PostFilterAuthorizationMethodInterceptor interceptor = new PostFilterAuthorizationMethodInterceptor();
interceptor.setOrder(AuthorizationInterceptorOrders.POST_AUTHORIZE.getOrder() - 1);
return interceptor;
}@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun postFilterAuthorizationMethodInterceptor() : Advisor {
val interceptor = PostFilterAuthorizationMethodInterceptor();
interceptor.setOrder(AuthorizationInterceptorOrders.POST_AUTHORIZE.getOrder() - 1);
return interceptor;
}<bean id="postFilterAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.PostFilterAuthorizationMethodInterceptor">
<property name="order"
value="#{T(org.springframework.security.authorization.method.AuthorizationInterceptorsOrder).POST_AUTHORIZE.getOrder() -1}"/>
</bean>您可能希望仅在应用程序中提供支持,在这种情况下,您可以执行以下操作:@PreAuthorize
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity(prePostEnabled = false)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor preAuthorize() {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize();
}
}@EnableMethodSecurity(prePostEnabled = false)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun preAuthorize() : Advisor {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize()
}
}<sec:method-security pre-post-enabled="false"/>
<aop:config/>
<bean id="preAuthorizeAuthorizationMethodInterceptor"
class="org.springframework.security.authorization.method.AuthorizationManagerBeforeMethodInterceptor"
factory-method="preAuthorize"/>或者,您可能有一个要添加到列表中的自定义 before-method。AuthorizationManager
在这种情况下,您需要告诉 Spring Security 授权管理器应用了哪些方法和类。AuthorizationManager
因此,你可以将 Spring Security 配置为在两者之间调用你的,如下所示:AuthorizationManager@PreAuthorize@PostAuthorize
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor customAuthorize() {
JdkRegexpMethodPointcut pattern = new JdkRegexpMethodPointcut();
pattern.setPattern("org.mycompany.myapp.service.*");
AuthorizationManager<MethodInvocation> rule = AuthorityAuthorizationManager.isAuthenticated();
AuthorizationManagerBeforeMethodInterceptor interceptor = new AuthorizationManagerBeforeMethodInterceptor(pattern, rule);
interceptor.setOrder(AuthorizationInterceptorsOrder.PRE_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}@EnableMethodSecurity
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun customAuthorize() : Advisor {
val pattern = JdkRegexpMethodPointcut();
pattern.setPattern("org.mycompany.myapp.service.*");
val rule = AuthorityAuthorizationManager.isAuthenticated();
val interceptor = AuthorizationManagerBeforeMethodInterceptor(pattern, rule);
interceptor.setOrder(AuthorizationInterceptorsOrder.PRE_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}<sec:method-security/>
<aop:config/>
<bean id="customAuthorize"
class="org.springframework.security.authorization.method.AuthorizationManagerBeforeMethodInterceptor">
<constructor-arg>
<bean class="org.springframework.aop.support.JdkRegexpMethodPointcut">
<property name="pattern" value="org.mycompany.myapp.service.*"/>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.authorization.AuthorityAuthorizationManager"
factory-method="isAuthenticated"/>
</constructor-arg>
<property name="order"
value="#{T(org.springframework.security.authorization.method.AuthorizationInterceptorsOrder).PRE_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1}"/>
</bean>|
您可以使用中指定的 order 常量将拦截器放置在 Spring Security 方法拦截器之间。 |
对于方法后授权,也可以执行相同的操作。 方法后授权通常涉及分析返回值以验证访问。
例如,您可能有一个方法来确认请求的帐户确实属于已登录用户,如下所示:
-
Java
-
Kotlin
public interface BankService {
@PreAuthorize("hasRole('USER')")
@PostAuthorize("returnObject.owner == authentication.name")
Account readAccount(Long id);
}interface BankService {
@PreAuthorize("hasRole('USER')")
@PostAuthorize("returnObject.owner == authentication.name")
fun readAccount(id : Long) : Account
}您可以提供自己的 API 来自定义如何评估对返回值的访问权限。AuthorizationMethodInterceptor
例如,如果您有自己的自定义注释,则可以按如下方式对其进行配置:
-
Java
-
Kotlin
-
Xml
@EnableMethodSecurity
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor customAuthorize(AuthorizationManager<MethodInvocationResult> rules) {
AnnotationMatchingPointcut pattern = new AnnotationMatchingPointcut(MySecurityAnnotation.class);
AuthorizationManagerAfterMethodInterceptor interceptor = new AuthorizationManagerAfterMethodInterceptor(pattern, rules);
interceptor.setOrder(AuthorizationInterceptorsOrder.POST_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}@EnableMethodSecurity
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
fun customAuthorize(rules : AuthorizationManager<MethodInvocationResult>) : Advisor {
val pattern = AnnotationMatchingPointcut(MySecurityAnnotation::class.java);
val interceptor = AuthorizationManagerAfterMethodInterceptor(pattern, rules);
interceptor.setOrder(AuthorizationInterceptorsOrder.POST_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}<sec:method-security/>
<aop:config/>
<bean id="customAuthorize"
class="org.springframework.security.authorization.method.AuthorizationManagerAfterMethodInterceptor">
<constructor-arg>
<bean class="org.springframework.aop.support.annotation.AnnotationMethodMatcher">
<constructor-arg value="#{T(org.mycompany.MySecurityAnnotation)}"/>
</bean>
</constructor-arg>
<constructor-arg>
<bean class="org.springframework.security.authorization.AuthorityAuthorizationManager"
factory-method="isAuthenticated"/>
</constructor-arg>
<property name="order"
value="#{T(org.springframework.security.authorization.method.AuthorizationInterceptorsOrder).PRE_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1}"/>
</bean>它将在拦截器之后调用。@PostAuthorize
EnableGlobalMethodSecurity
我们可以在任何实例上使用 annotation 来启用基于 annotation 的安全性。
例如,以下内容将启用 Spring Security 的 Comments。@EnableGlobalMethodSecurity@Configuration@Secured
-
Java
-
Kotlin
@EnableGlobalMethodSecurity(securedEnabled = true)
public class MethodSecurityConfig {
// ...
}@EnableGlobalMethodSecurity(securedEnabled = true)
open class MethodSecurityConfig {
// ...
}然后,向方法添加注释(在类或接口上)将相应地限制对该方法的访问。 Spring Security 的本机 Comments 支持为该方法定义了一组属性。 这些将被传递给 AccessDecisionManager,以便它做出实际决策:
-
Java
-
Kotlin
public interface BankService {
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account readAccount(Long id);
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account[] findAccounts();
@Secured("ROLE_TELLER")
public Account post(Account account, double amount);
}interface BankService {
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
fun readAccount(id: Long): Account
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
fun findAccounts(): Array<Account>
@Secured("ROLE_TELLER")
fun post(account: Account, amount: Double): Account
}可以使用
-
Java
-
Kotlin
@EnableGlobalMethodSecurity(jsr250Enabled = true)
public class MethodSecurityConfig {
// ...
}@EnableGlobalMethodSecurity(jsr250Enabled = true)
open class MethodSecurityConfig {
// ...
}这些是基于标准的,允许应用简单的基于角色的约束,但不具备 Spring Security 的原生 Comments 的功能。 要使用新的基于表达式的语法,您可以使用
-
Java
-
Kotlin
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig {
// ...
}@EnableGlobalMethodSecurity(prePostEnabled = true)
open class MethodSecurityConfig {
// ...
}等效的 Java 代码将是
-
Java
-
Kotlin
public interface BankService {
@PreAuthorize("isAnonymous()")
public Account readAccount(Long id);
@PreAuthorize("isAnonymous()")
public Account[] findAccounts();
@PreAuthorize("hasAuthority('ROLE_TELLER')")
public Account post(Account account, double amount);
}interface BankService {
@PreAuthorize("isAnonymous()")
fun readAccount(id: Long): Account
@PreAuthorize("isAnonymous()")
fun findAccounts(): Array<Account>
@PreAuthorize("hasAuthority('ROLE_TELLER')")
fun post(account: Account, amount: Double): Account
}GlobalMethodSecurityConfiguration
有时,您可能需要执行比 annotation 允许更复杂的操作。
对于这些实例,您可以扩展以确保 annotation 存在于 subclass 上。
例如,如果要提供自定义 ,则可以使用以下配置:@EnableGlobalMethodSecurityGlobalMethodSecurityConfiguration@EnableGlobalMethodSecurityMethodSecurityExpressionHandler
-
Java
-
Kotlin
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
// ... create and return custom MethodSecurityExpressionHandler ...
return expressionHandler;
}
}@EnableGlobalMethodSecurity(prePostEnabled = true)
open class MethodSecurityConfig : GlobalMethodSecurityConfiguration() {
override fun createExpressionHandler(): MethodSecurityExpressionHandler {
// ... create and return custom MethodSecurityExpressionHandler ...
return expressionHandler
}
}有关可以覆盖的方法的其他信息,请参阅 Javadoc。GlobalMethodSecurityConfiguration
<global-method-security> 元素
此元素用于在应用程序中启用基于 Comments 的安全性(通过在元素上设置适当的属性),以及将应用于整个应用程序上下文的安全切入点声明组合在一起。
您应该只声明一个元素。
以下声明将启用对 Spring Security 的支持:<global-method-security>@Secured
<global-method-security secured-annotations="enabled" />然后,向方法添加注释(在类或接口上)将相应地限制对该方法的访问。
Spring Security 的本机 Comments 支持为该方法定义了一组属性。
这些将被传递给 ,以便它做出实际决定:AccessDecisionManager
-
Java
-
Kotlin
public interface BankService {
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account readAccount(Long id);
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
public Account[] findAccounts();
@Secured("ROLE_TELLER")
public Account post(Account account, double amount);
}interface BankService {
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
fun readAccount(id: Long): Account
@Secured("IS_AUTHENTICATED_ANONYMOUSLY")
fun findAccounts(): Array<Account>
@Secured("ROLE_TELLER")
fun post(account: Account, amount: Double): Account
}可以使用
<global-method-security jsr250-annotations="enabled" />这些是基于标准的,允许应用简单的基于角色的约束,但不具备 Spring Security 的原生 Comments 的功能。 要使用新的基于表达式的语法,您可以使用
<global-method-security pre-post-annotations="enabled" />等效的 Java 代码将是
-
Java
-
Kotlin
public interface BankService {
@PreAuthorize("isAnonymous()")
public Account readAccount(Long id);
@PreAuthorize("isAnonymous()")
public Account[] findAccounts();
@PreAuthorize("hasAuthority('ROLE_TELLER')")
public Account post(Account account, double amount);
}interface BankService {
@PreAuthorize("isAnonymous()")
fun readAccount(id: Long): Account
@PreAuthorize("isAnonymous()")
fun findAccounts(): Array<Account>
@PreAuthorize("hasAuthority('ROLE_TELLER')")
fun post(account: Account, amount: Double): Account
}如果您需要定义简单的规则,而不仅仅是根据用户的权限列表检查角色名称,则基于表达式的注释是一个不错的选择。
|
带注释的方法将仅对定义为 Spring bean 的实例进行保护(在启用了 method-security 的同一应用程序上下文中)。
如果要保护不是由 Spring 创建的实例(例如,使用运算符),则需要使用 AspectJ。 |
|
您可以在同一个应用程序中启用多种类型的 Comments,但任何接口或类都只能使用一种类型,否则行为将不会得到明确定义。 如果找到两个适用于特定方法的 Comments,则只会应用其中一个。 |
使用 protect-pointcut 添加安全切入点
of 的使用特别强大,因为它允许您仅通过一个简单的声明将安全性应用于许多 bean。
请考虑以下示例:protect-pointcut
<global-method-security>
<protect-pointcut expression="execution(* com.mycompany.*Service.*(..))"
access="ROLE_USER"/>
</global-method-security>这将保护在应用程序上下文中声明的 bean 上的所有方法,这些 bean 的类位于包中,并且其类名以 “Service” 结尾。
只有具有该角色的用户才能调用这些方法。
与 URL 匹配一样,最具体的匹配项必须位于切入点列表中的第一个,因为将使用第一个匹配表达式。
安全注释优先于切入点。com.mycompanyROLE_USER