Spring 实战(第四版)
  • Spring 实战(第 4 版)
  • 第一部分 Spring 的核心
  • 第 1 章 Spring 之旅
    • 1.1 简化 Java 开发
      • 1.1.1 激发 POJO 的潜能
      • 1.1.2 依赖注入
      • 1.1.3 应用切面
      • 1.1.4 使用模板消除样式代码
    • 1.2 容纳你的 Bean
      • 1.2.1 使用应用上下文
      • 1.2.2 bean 的生命周期
    • 1.3 俯瞰 Spring 风景线
      • 1.3.1 Spring 模块
      • 1.3.2 Spring Portfolio
    • 1.4 Spring 的新功能
      • 1.4.1 Spring 3.1 新特性
      • 1.4.2 Spring 3.2 新特性
      • 1.4.3 Spring 4.0 新特性
    • 1.5 小结
  • 第 2 章 装配 Bean
    • 2.1 Spring 配置的可选方案
    • 2.2 自动化装配 bean
      • 2.2.1 创建可被发现的 bean
      • 2.2.2 为组件扫描的 bean 命名
      • 2.2.3 设置组件扫描的基础包
      • 2.2.4 通过为 bean 添加注解实现自动装配
      • 2.2.5 验证自动装配
    • 2.3 通过 Java 代码装配 bean
      • 2.3.1 创建配置类
      • 2.3.2 声明简单的 bean
      • 2.3.3 借助 JavaConfig 实现注入
    • 2.4 通过 XML 装配 bean
      • 2.4.1 创建 XML 配置规范
      • 2.4.2 声明一个简单的 <bean>
      • 2.4.3 借助构造器注入初始化 bean
      • 2.4.4 设置属性
    • 2.5 导入和混合配置
      • 2.5.1 在 JavaConfig 中引用 XML 配置
      • 2.5.2 在 XML 配置中引用 JavaConfig
    • 2.6 小结
  • 第 3 章 高级装配
    • 3.1 环境与 profile
      • 3.1.1 配置 profile bean
      • 3.1.2 激活 profile
    • 3.2 条件化的 bean
    • 3.3 处理自动装配的歧义性
      • 3.3.1 标示首选的 bean
      • 3.3.2 限定自动装配的 bean
    • 3.4 bean 的作用域
      • 3.4.1 使用会话和请求作用域
      • 3.4.2 在 XML 中声明作用域代理
    • 3.5 运行时值注入
      • 3.5.1 注入外部的值
      • 3.5.2 使用 Spring 表达式语言进行装配
    • 3.6 小结
  • 第 4 章 面向切面的 Spring
    • 4.1 什么是面向切面编程
      • 4.1.1 定义 AOP 术语
      • 4.1.2 Spring 对 AOP 的支持
    • 4.2 通过切点来选择连接点
      • 4.2.1 编写切点
      • 4.2.2 在切点中选择 bean
    • 4.3 使用注解创建切面
      • 4.3.1 定义切面
      • 4.3.2 创建环绕通知
      • 4.3.3 处理通知中的参数
      • 4.3.4 通过注解引入新功能
    • 4.4 在 XML 中声明切面
      • 4.4.1 声明前置和后置通知
      • 4.4.2 声明环绕通知
      • 4.4.3 为通知传递参数
      • 4.4.4 通过切面引入新的功能
    • 4.5 注入 AspectJ 切面
    • 4.6 小结
  • 第二部分 Web 中的 Spring
  • 第 5 章 构建 Spring Web 应用程序
    • 5.1 Spring MVC 起步
      • 5.1.1 跟踪 Spring MVC 的请求
      • 5.1.2 搭建 Spring MVC
      • 5.1.3 Spittr 应用简介
    • 5.2 编写基本的控制器
      • 5.2.1 测试控制器
      • 5.2.2 定义类级别的请求处理
      • 5.2.3 传递模型数据到视图中
    • 5.3 接受请求的输入
      • 5.3.1 处理查询参数
      • 5.3.2 通过路径参数接受输入
    • 5.4 处理表单
      • 5.4.1 编写处理表单的控制器
      • 5.4.2 校验表单
    • 5.5 小结
  • 第 6 章 渲染 Web 视图
    • 6.1 理解视图解析
    • 6.2 创建 JSP 视图
      • 6.2.1 配置适用于 JSP 的视图解析器
      • 6.2.2 使用 Spring 的 JSP 库
    • 6.3 使用 Apache Tiles 视图定义布局
      • 6.3.1 配置 Tiles 视图解析器
    • 6.4 使用 Thymeleaf
      • 6.4.1 配置 Thymeleaf 视图解析器
      • 6.4.2 定义 Thymeleaf 模板
    • 6.5 小结
  • 第 7 章 Spring MVC 的高级技术
    • 7.1 Spring MVC 配置的替代方案
      • 7.1.1 自定义 DispatcherServlet 配置
      • 7.1.2 添加其他的 Servlet 和 Filter
      • 7.1.3 在 web.xml 中声明 DispatcherServlet
    • 7.2 处理 multipart 形式的数据
      • 7.2.1 配置 multipart 解析器
      • 7.2.2 处理 multipart 请求
    • 7.3 处理异常
      • 7.3.1 将异常映射为 HTTP 状态码
      • 7.3.2 编写异常处理的方法
    • 7.4 为控制器添加通知
    • 7.5 跨重定向请求传递数据
      • 7.5.1 通过 URL 模板进行重定向
      • 7.5.2 使用 flash 属性
    • 7.6 小结
  • 第 8 章 使用 Spring Web Flow
    • 8.1 在 Spring 中配置 Web Flow
      • 8.1.1 装配流程执行器
      • 8.1.2 配置流程注册表
      • 8.1.3 处理流程请求
    • 8.2 流程的组件
      • 8.2.1 状态
      • 8.2.2 转移
      • 8.2.3 流程数据
    • 8.3 组合起来:披萨流程
      • 8.3.1 定义基本流程
      • 8.3.2 收集顾客信息
      • 8.3.3 构建订单
      • 8.3.4 支付
    • 8.4 保护 Web 流程
    • 8.5 小结
  • 第 9 章 保护 Web 应用
    • 9.1 Spring Security 简介
      • 9.1.1 理解 Spring Security 的模块
      • 9.1.2 过滤 Web 请求
      • 9.1.3 编写简单的安全性配置
    • 9.2 选择查询用户详细信息的服务
      • 9.2.1 使用基于内存的用户存储
      • 9.2.2 基于数据库表进行认证
      • 9.2.3 基于 LDAP 进行认证
      • 9.2.4 配置自定义的用户服务
    • 9.3 拦截请求
      • 9.3.1 使用 Spring 表达式进行安全保护
      • 9.3.2 强制通道的安全性
      • 9.3.3 防止跨站请求伪造
    • 9.4 认证用户
      • 9.4.1 添加自定义的登录页
      • 9.4.2 启用 HTTP Basic 认证
      • 9.4.3 启用 Remember-me 功能
      • 9.4.4 退出
    • 9.5 保护视图
      • 9.5.1 使用 Spring Security 的 JSP 标签库
      • 9.5.2 使用 Thymeleaf 的 Spring Security 方言
    • 9.6 小结
  • 第三部分 后端中的 Spring
  • 第 10 章 通过 Spring 和 JDBC 征服数据库
    • 10.1 Spring 的数据访问哲学
      • 10.1.1 了解 Spring 的数据访问异常体系
      • 10.1.2 数据访问模板化
    • 10.2 配置数据源
      • 10.2.1 使用 JNDI 数据源
      • 10.2.2 使用数据源连接池
      • 10.2.3 基于 JDBC 驱动的数据源
      • 10.2.4 使用嵌入式的数据源
      • 10.2.5 使用 profile 选择数据源
    • 10.3 在 Spring 中使用 JDBC
      • 10.3.1 应对失控的 JDBC 代码
      • 10.3.2 使用 JDBC 模板
    • 10.4 小结
  • 第 11 章 使用对象-关系映射持久化数据
    • 11.1 在 Spring 中集成 Hibernate
      • 11.1.1 声明 Hibernate 的 Session 工厂
      • 11.1.2 构建不依赖于 Spring 的 Hibernate 代码
    • 11.2 Spring 与 Java 持久化 API
      • 11.2.1 配置实体管理器工厂
      • 11.2.2 编写基于 JPA 的 Repository
    • 11.3 借助 Spring Data 实现自动化的 JPARepository
      • 11.3.1 定义查询方法
      • 11.3.2 声明自定义查询
      • 11.3.3 混合自定义的功能
    • 11.4 小结
  • 第 12 章 使用 NoSQL 数据库
    • 12.1 使用 MongoDB 持久化文档数据
      • 12.1.1 启用 MongoDB
      • 12.1.2 为模型添加注解,实现 MongoDB 持久化
      • 12.1.3 使用 MongoTemplate 访问 MongoDB
      • 12.1.4 编写 MongoDB Repository
    • 12.2 使用 Neo4j 操作图数据
      • 12.2.1 配置 Spring Data Neo4j
      • 12.2.2 使用注解标注图实体
      • 12.2.3 使用 Neo4jTemplate
      • 12.2.4 创建自动化的 Neo4j Repository
    • 12.3 使用 Redis 操作 key-value 数据
      • 12.3.1 连接到 Redis
      • 12.3.2 使用 Redis Template
      • 12.3.3 使用 key 和 value 的序列化器
    • 12.4 小结
  • 第 13 章 缓存数据
    • 13.1 启用对缓存的支持
      • 13.1.1 配置缓存管理器
    • 13.2 为方法添加注解以支持缓存
      • 13.2.1 填充缓存
      • 13.2.2 移除缓存条目
    • 13.3 使用 XML 声明缓存
    • 13.4 小结
  • 第 14 章 保护方法应用
    • 14.1 使用注解保护方法
      • 14.1.1 使用 @Secured 注解限制方法调用
      • 14.1.2 在 Spring Security 中使用 JSR-250 的 @RolesAllowed 注解
    • 14.2 使用表达式实现方法级别的安全性
      • 14.2.1 表述方法访问规则
      • 14.2.2 过滤方法的输入和输出
    • 14.3 小结
  • 第四部分 Spring 集成
  • 第 15 章 使用远程服务
    • 15.1 Spring 远程调用概览
    • 15.2 使用 RMI
      • 15.2.1 导出 RMI 服务
      • 15.2.2 装配 RMI 服务
    • 15.3 使用 Hessian 和 Burlap 发布远程服务
      • 15.3.1 使用 Hessian 和 Burlap 导出 bean 的功能
      • 15.3.2 访问 Hessian/Burlap 服务
    • 15.4 使用 Spring 的 HttpInvoker
      • 15.4.1 将 bean 导出为 HTTP 服务
      • 15.4.2 通过 HTTP 访问服务
    • 15.5 发布和使用 Web 服务
      • 15.5.1 创建基于 Spring 的 JAX-WS 端点
      • 15.5.2 在客户端代理 JAX-WS 服务
    • 15.6 小结
  • 第 16 章 使用 Spring MVC 创建 REST API
    • 16.1 了解 REST
      • 16.1.1 REST 的基础知识
      • 16.1.2 Spring 是如何支持 REST 的
    • 16.2 创建第一个 REST 端点
      • 16.2.1 协商资源表述
      • 16.2.2 使用 HTTP 信息转换器
    • 16.3 提供资源之外的其他内容
      • 16.3.1 发送错误信息到客户端
      • 16.3.2 在响应中设置头部信息
    • 16.4 编写 REST 客户端
      • 16.4.1 了解 RestTemplate 的操作
      • 16.4.2 GET 资源
      • 16.4.3 检索资源
      • 16.4.4 抽取响应的元数据
      • 16.4.5 PUT 资源
      • 16.4.6 DELETE 资源
      • 16.4.7 POST 资源数据
      • 16.4.8 在 POST 请求中获取响应对象
      • 16.4.9 在 POST 请求后获取资源位置
      • 16.4.10 交换资源
    • 16.5 小结
  • 第 17 章 Spring 消息
    • 17.1 异步消息简介
      • 17.1.1 发送消息
      • 17.1.2 评估异步消息的优点
    • 17.2 使用 JMS 发送消息
      • 17.2.1 在 Spring 中搭建消息代理
      • 17.2.2 使用 Spring 的 JMS 模板
      • 17.2.3 创建消息驱动的 POJO
      • 17.2.4 使用基于消息的 RPC
    • 17.3 使用 AMQP 实现消息功能
      • 17.3.1 AMQP 简介
      • 17.3.2 配置 Spring 支持 AMQP 消息
      • 17.3.3 使用 RabbitTemplate 发送消息
      • 17.3.4 接收 AMQP 消息
    • 17.4 小结
  • 第 18 章 使用 WebSocket 和 STOMP 实现消息功能
    • 18.1 使用 Spring 的低层级 WebSocket API
    • 18.2 应对不支持 WebSocket 的场景
    • 18.3 使用 STOMP 消息
      • 18.3.1 启用 STOMP 消息功能
      • 18.3.2 处理来自客户端的 STOMP 消息
      • 18.3.3 发送消息到客户端
    • 18.4 为目标用户发送消息
      • 18.4.1 在控制器中处理用户的消息
      • 18.4.2 为指定用户发送消息
    • 18.5 处理消息异常
    • 18.6 小结
  • 第 19 章 使用 Spring 发送 Email
    • 19.1 配置 Spring 发送邮件
      • 19.1.1 配置邮件发送器
      • 19.1.2 装配和使用邮件发送器
    • 19.2 构建丰富内容的 Email 消息
      • 19.2.1 添加附件
      • 19.2.2 发送富文本内容的 Email
    • 19.3 使用模板生成 Email
      • 19.3.1 使用 Velocity 构建 Email 消息
      • 19.3.2 使用 Thymeleaf 构建 Email 消息
    • 19.4 小结
  • 第 20 章 使用 JMX 管理 SpringBean
    • 20.1 将 Spring bean 导出为 MBean
      • 20.1.1 通过名称暴露方法
      • 20.1.2 使用接口定义 MBean 的操作和属性
      • 20.1.3 使用注解驱动的 MBean
      • 20.1.4 处理 MBean 冲突
    • 20.2 远程 MBean
      • 20.2.1 暴露远程 MBean
      • 20.2.2 访问远程 MBean
      • 20.2.3 代理 MBean
    • 20.3 处理通知
      • 20.3.1 监听通知
    • 20.4 小结
  • 第 21 章 借助 Spring Boot 简化 Spring 开发
    • 21.1 Spring Boot 简介
      • 21.1.1 添加 Starter 依赖
      • 21.1.2 自动配置
      • 21.1.3 Spring Boot CLI
      • 21.1.4 Actuator
    • 21.2 使用 Spring Boot 构建应用
      • 21.2.1 处理请求
      • 21.2.2 创建视图
      • 21.2.3 添加静态内容
      • 21.2.4 持久化数据
      • 21.2.5 尝试运行
    • 21.3 组合使用 Groovy 与 Spring Boot CLI
      • 21.3.1 编写 Groovy 控制器
      • 21.3.2 使用 Groovy Repository 实现数据持久化
      • 21.3.3 运行 Spring Boot CLI
    • 21.4 通过 Actuator 获取了解应用内部状况
    • 21.5 小结
Powered by GitBook
On this page

Was this helpful?

  1. 第 14 章 保护方法应用
  2. 14.2 使用表达式实现方法级别的安全性

14.2.2 过滤方法的输入和输出

如果我们希望使用表达式来保护方法的话,那使用 @PreAuthorize 和 @PostAuthorize 是非常好的方案。但是,有时候限制方法调用太严格了。有时,需要保护的并不是对方法的调用,需要保护的是传入方法的数据和方法返回的数据。

例如,我们有一个名为 getOffensiveSpittles() 的方法,这个方法会返回标记为具有攻击性的 Spittle 列表。这个方法主要会给管理员使用,以保证 Spittr 应用中内容的和谐。但是,普通用户也可以使用这个方法,用来查看他们所发布的 Spittle 有没有被标记为具有攻击性。这个方法的签名大致如下所示:

public List<Spittle> getOffensiveSpittles() { ... }

按照这种方法的定义,getOffensiveSpittles() 方法与具体的用户并没有关联。它只会返回攻击性 Spittle 的一个列表,并不关心它们属于哪个用户。对于管理员使用来说,这是一个很好的方法,但是它无法限制列表中的 Spittle 都属于当前用户。

当然,我们也可以重载 getOffensiveSpittles(),实现另一个版本,让它接受一个用户 ID 作为参数,查询给定用户的 Spittle。但是,正如我在本章开头所讲的那样,始终会有这样的可能性,那就是将较为宽松限制的版本用在具有一定安全限制的场景中。

我们需要有一种方式过滤 getOffensiveSpittles() 方法返回的 Spittle 集合,将结果限制为允许当前用户看到的内容,而这就是 Spring Security 的 @PostFilter 所能做的事情。我们来试一下。

事后对方法的返回值进行过滤

与 @PreAuthorize 和 @PostAuthorize 类似,@PostFilter 也使用一个 SpEL 作为值参数。但是,这个表达式不是用来限制方法访问的,@PostFilter 会使用这个表达式计算该方法所返回集合的每个成员,将计算结果为 false 的成员移除掉。

为了阐述该功能,我们将 @PostFilter 应用在 getOffensiveSpittles() 方法上:

@PreAuthorize("hasRole({'ROLE_SPITTER', 'ROLE_ADMIN'})")
@PostFilter("hasRole('ROLE_ADMIN') || filterObject.spitter.username == principal.username")
public List<Spittle> getOffensiveSpittles() {
  ...
}

在这里,@PreAuthorize 限制只有具备 ROLE_SPITTER 或 ROLE_ADMIN 权限的用户才能访问该方法。如果用户能够通过这个检查点,那么方法将会执行,并且会返回 Spittle 所组成的一个 List。但是,@PostFilter 注解将会过滤这个列表,确保用户只 能看到允许的 Spittle。具体来讲,管理员能够看到所有攻击性的 Spittle,非管理员只能看到属于自己的 Spittle。

表达式中的 filterObject 对象引用的是这个方法所返回 List 中的某一个元素(我们知道它是一个 Spittle)。在这个 Spittle 对象中,如果 Spitter 的用户名与认证用户(表达式中的 principal.name) 相同或者用户具有 ROLE_ADMIN 角色,那这个元素将会最终包含在过滤后的列表中。否则,它将被过滤掉。

事先对方法的参数进行过滤

除了事后过滤方法的返回值,我们还可以预先过滤传入到方法中的值。这项技术不太常用,但是在有些场景下可能会很便利。例如,假设我们希望以批处理的方式删除 Spittle 组成的列表。为了完成该功能,我们可能会编写一个方法,其签名大致如下所示:

public void deleteSpittles(List<Spittle> spittles) { ... }

看起来很简单,对吧?但是,如果我们想在它上面应用一些安全规则的话,比如 Spittle 只能由其所有者或管理员删除,那该怎么做呢?如果是这样的话,我们可以将逻辑放在 deleteSpittles() 方法中,在这里循环列表中的 Spittle,只删除属于当前用户的那一部分对象(如果当前用户是管理员的话,则会全部删除)。

这能够运行正常,但是这意味着我们需要将安全逻辑直接嵌入到方法之中。相对于删除 Spittle 来讲,安全逻辑是独立的关注点(当然,它们也有所关联)。如果列表中能够只包含实际要删除的 Spittle,这样会更好一些,因为这能帮助 deleteSpittles() 方法中的逻辑更加简单,只关注于删除 Spittle 的任务。

Spring Security 的 @PreFilter 注解能够很好地解决这个问题。与 @PostFilter 非常类似,@PreFilter 也使用 SpEL 来过滤集合, 只有满足 SpEL 表达式的元素才会留在集合中。但是它所过滤的不是方法的返回值,@PreFilter 过滤的是要进入方法中的集合成员。

@PreFilter 的使用非常简单。如下的 deleteSpittles() 方法使用了 @PreFilter 注解:

@PreAuthorize("hasRole({'ROLE_SPITTER', 'ROLE_ADMIN'})")
@PostFilter("hasRole('ROLE_ADMIN') || filterObject.spitter.username == principal.username")
public void deleteSpittles(List<Spittle> spittles) { ... }

与前面一样,对于没有 ROLE_SPITTER 或 ROLE_ADMIN 权限的用户,@PreAuthorize 注解会阻止对这个方法的调用。但同时,@PreFilter 注解能够保证传递给 deleteSpittles() 方法的列表中,只包含当前用户有权限删除的 Spittle。这个表达式会针对集合中的每个元素进行计算,只有表达式计算结果为 true 的元素才会保留在列表中。targetObject 是 Spring Security 提供的另外一个值,它代表了要进行计算的当前列表元素。

Spring Security 提供了注解驱动的功能,这是通过一系列注解来实现的,到此为止,我们已经对这些注解进行了介绍。相对于判断用户所授予的权限,使用表达式来定义安全限制是一种更为强大的方式。

即便如此,我们也不应该让表达式过于聪明智能。我们应该避免编写非常复杂的安全表达式,或者在表达式中嵌入太多与安全无关的业务逻辑。而且,表达式最终只是一个设置给注解的 String 值,因此它很难测试和调试。

如果你觉得自己的安全表达式难以控制了,那么就应该看一下如何编写自定义的许可计算器(permission evaluator),以简化你的 SpEL 表达式。下面我们看一下如何编写自定义的许可计算器,用它来简化之前用于过滤的表达式。

定义许可计算器

我们在 @PreFilter 和 @PostFilter 中所使用的表达式还算不上太复杂。但是,它也并不简单,我们可以很容易地想象如果还要实现其他的安全规则,这个表达式会不断膨胀。在变得很长之前,表达式就会笨重、复杂且难以测试。

其实我们能够将整个表达式替换为更加简单的版本,如下所示:现在,设置给 @PreFilter 的表达式更加紧凑。它实际上只是在问一个问题 “用户有权限删除目标对象吗?”。如果有的话,表达式的计算结果为 true,Spittle 会保存在列表中,并传递给 deleteSpittles() 方法。如果没有权限的话,它将会被移除掉。

但是,hasPermission() 是哪来的呢?它的意思是什么?更为重要的是,它如何知道用户有没有权限删除 targetObject 所对应的 Spittle 呢?

hasPermission() 函数是 Spring Security 为 SpEL 提供的扩展,它为开发者提供了一个时机,能够在执行计算的时候插入任意的逻辑。我 们所需要做的就是编写并注册一个自定义的许可计算器。程序清单 14.1 展现了 SpittlePermissionEvaluator 类,它就是一个自定义的许可计算器,包含了表达式逻辑。

package spittr.security;

import java.io.Serializable;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.core.Authentication;
import spittr.Spittle;

public class SpittlePermissionEvaluator implements PermissionEvaluator {
  private static final GrantedAuthority ADMIN_AUTHORITY =
    new GrantedAuthoritylmpl("ROLE_ADMIN");
  public boolean hasPermission(Authentication authentication, Object target, Object permission) {
    
    if (target instanceof Spittle) {
      Spittle spittle = (Spittle) target;
      String username = spittle.getSpitter().getUsername();
      if ("delete".equals(permission)) {
        return isAdmin(authentication) || username.equals(authentication.getName());
      }
    }
    
    throw new UnsupportedOperationException(
      "hasPermission not supported for object <" + target
      + "> and permission <" + permission + ">");
  }
  
  public boolean hasPermission(Authentication authentication, Serializable targetId,
      String targetType, Object permission) {
      
      throw new UnsupportedOperationException();
  }
  
  private boolean isAdmin(Authentication authentication) {
    return authentication.getAuthorities().contains(ADMIN_AUTHORITY);
  }
}

SpittlePermissionEvaluator 实现了 Spring Security 的 PermissionEvaluator 接口,它需要实现两个不同的 hasPermission() 方法。其中的一个 hasPermission() 方法把要评估的对象作为第二个参数。第二个 hasPermission() 方法在只有目标对象的 ID 可以得到的时候才有用,并将 ID 作为 Serializable 传入第二个参数。

为了满足我们的需求,我们假设使用 Spittle 对象来评估权限,所以第二个方法只是简单地抛出 UnsupportedOperationException。

对于第一个 hasPermission() 方法,要检查所评估的对象是否为一个 Spittle,并判断所检查的是否为删除权限。如果是这样,它将对比 Spitter 的用户名是否与认证用户的名称相等,或者当前用户是否具有 ROLE_ADMIN 权限。

许可计算器已经准备就绪,接下来需要将其注册到 Spring Security 中,以便在使用 @PreFilter 表达式的时候支持 hasPermission() 操作。为了实现该功能,我们需要替换原有的表达式处理器,换成使用自定义许可计算器的处理器。

默认情况下,Spring Security 会配置为使用 DefaultMethodSecurityExpressionHandler,它会使用一个 DenyAllPermissionEvaluator 实例。顾名思义,DenyAllPermissionEvaluator 将会在 hasPermission() 方法中始终返回 false,拒绝所有的方法访问。但是,我们可以为 Spring Security 提供另外一个 DefaultMethodSecurityExpressionHandler,让它使用我们自定义的 SpittlePermissionEvaluator,这需要重载 GlobalMethodSecurityConfiguration 的 createExpressionHandler 方法:

@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
  DefaultMethodSecurityExpressionHandler expressionHandler =
    new DefaultMethodSecurityExpressionHandler();
  expressionHandler.setPermissionEvaluator(new SpittlePermissionEvaluator());
  return expressionHandler;
}

现在,我们不管在任何地方的表达式中使用 hasPermission() 来保护方法,都会调用 SpittlePermissionEvaluator 来决定用户是否有权限调用方法。

Previous14.2.1 表述方法访问规则Next14.3 小结

Last updated 5 years ago

Was this helpful?