对于最新的稳定版本,请使用 Spring Security 6.4.1! |
EnableReactiveMethodSecurity
Spring Security 通过使用 Reactor 的 Context 来支持方法安全性,该 Context 由 .
以下示例显示如何检索当前登录用户的消息:ReactiveSecurityContextHolder
要使此示例正常工作,方法的返回类型必须是 a (即 a 或 a )。
这是与 Reactor 的 . |
EnableReactiveMethodSecurity 与 AuthorizationManager
在 Spring Security 5.8 中,我们可以在任何实例上使用 Comments 来启用基于 Comments 的安全性。@EnableReactiveMethodSecurity(useAuthorizationManager=true)
@Configuration
这在许多方面都有所改进。:@EnableReactiveMethodSecurity
@EnableReactiveMethodSecurity(useAuthorizationManager=true)
-
使用简化的 API,而不是元数据源、配置属性、决策管理器和投票者。 这简化了重用和定制。
AuthorizationManager
-
支持响应式返回类型。请注意,在添加协程支持之前,我们正在等待 Spring Framework 的其他协程支持。
-
使用原生 Spring AOP 构建,去除抽象并允许您使用 Spring AOP 构建块进行自定义
-
检查冲突的注释以确保安全配置明确
-
符合 JSR-250
对于早期版本,请阅读 @EnableReactiveMethodSecurity 的类似支持。 |
例如,以下内容将启用 Spring Security 的 Comments:@PreAuthorize
-
Java
@EnableReactiveMethodSecurity(useAuthorizationManager=true)
public class MethodSecurityConfig {
// ...
}
然后,向方法添加注释(在类或接口上)将相应地限制对该方法的访问。
Spring Security 的本机 Comments 支持为该方法定义了一组属性。
这些将被传递给各种方法拦截器,例如 ,以便它做出实际的决定:AuthorizationManagerBeforeReactiveMethodInterceptor
-
Java
public interface BankService {
@PreAuthorize("hasRole('USER')")
Mono<Account> readAccount(Long id);
@PreAuthorize("hasRole('USER')")
Flux<Account> findAccounts();
@PreAuthorize("@func.apply(#account)")
Mono<Account> post(Account account, Double amount);
}
在这种情况下,指的是 SPEL 评估引擎调用的方法。hasRole
SecurityExpressionRoot
@bean
引用您定义的自定义组件,其中 can return 或 to 指示授权决策。
像这样的 bean 可能看起来像这样:apply
Boolean
Mono<Boolean>
-
Java
@Bean
public Function<Account, Mono<Boolean>> func() {
return (account) -> Mono.defer(() -> Mono.just(account.getId().equals(12)));
}
自定义授权
Spring Security 的 、 、 和 附带 具有丰富的基于表达式的支持。@PreAuthorize
@PostAuthorize
@PreFilter
@PostFilter
-
Java
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
static GrantedAuthorityDefaults grantedAuthorityDefaults() {
return new GrantedAuthorityDefaults("MYPREFIX_");
}
我们使用方法公开,以确保 Spring 在初始化 Spring Security 的方法安全类之前发布它。
由于 bean 是 Spring Security 内部工作的一部分,我们还应该将其公开为基础设施 bean,从而有效地避免一些与 bean 后处理相关的警告(参见 gh-14751)。 |
自定义授权管理器
方法授权是方法授权之前和方法之后授权的组合。
Before-method 授权在调用方法之前执行。
如果该授权拒绝访问,则不会调用该方法,并会引发 an。
方法后授权在调用方法之后,但在方法返回给调用方之前执行。
如果该授权拒绝访问,则不会返回该值,并会引发 |
要重新创建默认情况下添加的功能,您需要发布以下配置:@EnableReactiveMethodSecurity(useAuthorizationManager=true)
-
Java
@Configuration
class MethodSecurityConfig {
@Bean
BeanDefinitionRegistryPostProcessor aopConfig() {
return AopConfigUtils::registerAutoProxyCreatorIfNecessary;
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
PreFilterAuthorizationReactiveMethodInterceptor preFilterInterceptor() {
return new PreFilterAuthorizationReactiveMethodInterceptor();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
AuthorizationManagerBeforeReactiveMethodInterceptor preAuthorizeInterceptor() {
return AuthorizationManagerBeforeReactiveMethodInterceptor.preAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
AuthorizationManagerAfterReactiveMethodInterceptor postAuthorizeInterceptor() {
return AuthorizationManagerAfterReactiveMethodInterceptor.postAuthorize();
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
PostFilterAuthorizationReactiveMethodInterceptor postFilterInterceptor() {
return new PostFilterAuthorizationReactiveMethodInterceptor();
}
}
请注意,Spring Security 的方法安全性是使用 Spring AOP 构建的。
因此,根据指定的顺序调用拦截器。
这可以通过调用拦截器实例来自定义,如下所示:setOrder
-
Java
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor postFilterAuthorizationMethodInterceptor() {
PostFilterAuthorizationMethodInterceptor interceptor = new PostFilterAuthorizationReactiveMethodInterceptor();
interceptor.setOrder(AuthorizationInterceptorOrders.POST_AUTHORIZE.getOrder() - 1);
return interceptor;
}
您可能希望仅在应用程序中提供支持,在这种情况下,您可以执行以下操作:@PreAuthorize
-
Java
@Configuration
class MethodSecurityConfig {
@Bean
BeanDefinitionRegistryPostProcessor aopConfig() {
return AopConfigUtils::registerAutoProxyCreatorIfNecessary;
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
Advisor preAuthorize() {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize();
}
}
或者,您可能有一个要添加到列表中的自定义 before-method。ReactiveAuthorizationManager
在这种情况下,您需要告诉 Spring Security 授权管理器应用了哪些方法和类。ReactiveAuthorizationManager
因此,你可以将 Spring Security 配置为在两者之间调用你的,如下所示:ReactiveAuthorizationManager
@PreAuthorize
@PostAuthorize
-
Java
@EnableReactiveMethodSecurity(useAuthorizationManager=true)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor customAuthorize() {
JdkRegexpMethodPointcut pattern = new JdkRegexpMethodPointcut();
pattern.setPattern("org.mycompany.myapp.service.*");
ReactiveAuthorizationManager<MethodInvocation> rule = AuthorityAuthorizationManager.isAuthenticated();
AuthorizationManagerBeforeReactiveMethodInterceptor interceptor = new AuthorizationManagerBeforeReactiveMethodInterceptor(pattern, rule);
interceptor.setOrder(AuthorizationInterceptorsOrder.PRE_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}
您可以使用中指定的 order 常量将拦截器放置在 Spring Security 方法拦截器之间。 |
对于方法后授权,也可以执行相同的操作。 方法后授权通常涉及分析返回值以验证访问。
例如,您可能有一个方法来确认请求的帐户确实属于已登录用户,如下所示:
-
Java
public interface BankService {
@PreAuthorize("hasRole('USER')")
@PostAuthorize("returnObject.owner == authentication.name")
Mono<Account> readAccount(Long id);
}
您可以提供自己的 API 来自定义如何评估对返回值的访问权限。AuthorizationMethodInterceptor
例如,如果您有自己的自定义注释,则可以按如下方式对其进行配置:
-
Java
@EnableReactiveMethodSecurity(useAuthorizationManager=true)
class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor customAuthorize(ReactiveAuthorizationManager<MethodInvocationResult> rules) {
AnnotationMethodMatcher pattern = new AnnotationMethodMatcher(MySecurityAnnotation.class);
AuthorizationManagerAfterReactiveMethodInterceptor interceptor = new AuthorizationManagerAfterReactiveMethodInterceptor(pattern, rules);
interceptor.setOrder(AuthorizationInterceptorsOrder.POST_AUTHORIZE_ADVISOR_ORDER.getOrder() + 1);
return interceptor;
}
}
它将在拦截器之后调用。@PostAuthorize
EnableReactiveMethodSecurity
|
-
Java
-
Kotlin
Authentication authentication = new TestingAuthenticationToken("user", "password", "ROLE_USER");
Mono<String> messageByUsername = ReactiveSecurityContextHolder.getContext()
.map(SecurityContext::getAuthentication)
.map(Authentication::getName)
.flatMap(this::findMessageByUsername)
// In a WebFlux application the `subscriberContext` is automatically setup using `ReactorContextWebFilter`
.contextWrite(ReactiveSecurityContextHolder.withAuthentication(authentication));
StepVerifier.create(messageByUsername)
.expectNext("Hi user")
.verifyComplete();
val authentication: Authentication = TestingAuthenticationToken("user", "password", "ROLE_USER")
val messageByUsername: Mono<String> = ReactiveSecurityContextHolder.getContext()
.map(SecurityContext::getAuthentication)
.map(Authentication::getName)
.flatMap(this::findMessageByUsername) // In a WebFlux application the `subscriberContext` is automatically setup using `ReactorContextWebFilter`
.contextWrite(ReactiveSecurityContextHolder.withAuthentication(authentication))
StepVerifier.create(messageByUsername)
.expectNext("Hi user")
.verifyComplete()
其中 定义为:this::findMessageByUsername
-
Java
-
Kotlin
Mono<String> findMessageByUsername(String username) {
return Mono.just("Hi " + username);
}
fun findMessageByUsername(username: String): Mono<String> {
return Mono.just("Hi $username")
}
以下最小方法安全性在响应式应用程序中配置方法安全性:
-
Java
-
Kotlin
@Configuration
@EnableReactiveMethodSecurity
public class SecurityConfig {
@Bean
public MapReactiveUserDetailsService userDetailsService() {
User.UserBuilder userBuilder = User.withDefaultPasswordEncoder();
UserDetails rob = userBuilder.username("rob")
.password("rob")
.roles("USER")
.build();
UserDetails admin = userBuilder.username("admin")
.password("admin")
.roles("USER","ADMIN")
.build();
return new MapReactiveUserDetailsService(rob, admin);
}
}
@Configuration
@EnableReactiveMethodSecurity
class SecurityConfig {
@Bean
fun userDetailsService(): MapReactiveUserDetailsService {
val userBuilder: User.UserBuilder = User.withDefaultPasswordEncoder()
val rob = userBuilder.username("rob")
.password("rob")
.roles("USER")
.build()
val admin = userBuilder.username("admin")
.password("admin")
.roles("USER", "ADMIN")
.build()
return MapReactiveUserDetailsService(rob, admin)
}
}
请考虑以下类:
-
Java
-
Kotlin
@Component
public class HelloWorldMessageService {
@PreAuthorize("hasRole('ADMIN')")
public Mono<String> findMessage() {
return Mono.just("Hello World!");
}
}
@Component
class HelloWorldMessageService {
@PreAuthorize("hasRole('ADMIN')")
fun findMessage(): Mono<String> {
return Mono.just("Hello World!")
}
}
或者,以下类使用 Kotlin 协程:
-
Kotlin
@Component
class HelloWorldMessageService {
@PreAuthorize("hasRole('ADMIN')")
suspend fun findMessage(): String {
delay(10)
return "Hello World!"
}
}
结合我们上面的配置,确保 that 仅由具有该角色的用户调用。
请注意,标准方法安全性中的任何表达式都适用于 .
但是,目前,我们仅支持表达式的 or 的返回类型。
这意味着表达式不能阻塞。@PreAuthorize("hasRole('ADMIN')")
findByMessage
ADMIN
@EnableReactiveMethodSecurity
Boolean
boolean
与 WebFlux Security 集成时,Spring Security 会根据经过身份验证的用户自动建立 Reactor 上下文:
-
Java
-
Kotlin
@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
public class SecurityConfig {
@Bean
SecurityWebFilterChain springWebFilterChain(ServerHttpSecurity http) throws Exception {
return http
// Demonstrate that method security works
// Best practice to use both for defense in depth
.authorizeExchange(exchanges -> exchanges
.anyExchange().permitAll()
)
.httpBasic(withDefaults())
.build();
}
@Bean
MapReactiveUserDetailsService userDetailsService() {
User.UserBuilder userBuilder = User.withDefaultPasswordEncoder();
UserDetails rob = userBuilder.username("rob")
.password("rob")
.roles("USER")
.build();
UserDetails admin = userBuilder.username("admin")
.password("admin")
.roles("USER","ADMIN")
.build();
return new MapReactiveUserDetailsService(rob, admin);
}
}
@Configuration
@EnableWebFluxSecurity
@EnableReactiveMethodSecurity
class SecurityConfig {
@Bean
open fun springWebFilterChain(http: ServerHttpSecurity): SecurityWebFilterChain {
return http {
authorizeExchange {
authorize(anyExchange, permitAll)
}
httpBasic { }
}
}
@Bean
fun userDetailsService(): MapReactiveUserDetailsService {
val userBuilder: User.UserBuilder = User.withDefaultPasswordEncoder()
val rob = userBuilder.username("rob")
.password("rob")
.roles("USER")
.build()
val admin = userBuilder.username("admin")
.password("admin")
.roles("USER", "ADMIN")
.build()
return MapReactiveUserDetailsService(rob, admin)
}
}
您可以在 hellowebflux-method 中找到完整的示例。