Spring Securityの式言語の注釈で使用するカスタムメソッドを作成する方法

Question

アノテーションを介したメソッドベースの承認のために、スプリングセキュリティ式言語で使用するカスタムメソッドを追加するクラスを作成したいと思います。

たとえば、「customMethodReturningBoolean」のようなカスタムメソッドを作成して、次のように使用します。

 @PreAuthorize("customMethodReturningBoolean()") public void myMethodToSecure() { // whatever }

私の質問はこれです。可能であれば、カスタムクラスを作成するためにどのクラスをサブクラス化する必要がありますか？Spring xml構成ファイルでどのように構成し、この方法で使用されるカスタムメソッドの例を教えてもらえますか？

sourcedelica · Accepted Answer

2つのクラスをサブクラス化する必要があります。

最初に、新しいメソッド式ハンドラーを設定します

_<global-method-security> <expression-handler ref="myMethodSecurityExpressionHandler"/> </global-method-security> _

myMethodSecurityExpressionHandlerはDefaultMethodSecurityExpressionHandlerのサブクラスになり、createEvaluationContext()をオーバーライドし、MethodSecurityExpressionRootのMethodSecurityEvaluationContextのサブクラスを設定します。

例えば：

_@Override public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) { MethodSecurityEvaluationContext ctx = new MethodSecurityEvaluationContext(auth, mi, parameterNameDiscoverer); MethodSecurityExpressionRoot root = new MyMethodSecurityExpressionRoot(auth); root.setTrustResolver(trustResolver); root.setPermissionEvaluator(permissionEvaluator); root.setRoleHierarchy(roleHierarchy); ctx.setRootObject(root); return ctx; } _

James Watkins · Answer

上記の手法はいずれも機能しません。ユーザーがSecurityExpressionRootをオーバーライドするのを防ぐために、Springはかなりの時間をかけてきたようです。

編集11/19/14セキュリティアノテーションを使用するようにSpringを設定します。

<beans ... xmlns:sec="http://www.springframework.org/schema/security" ... > ... <sec:global-method-security pre-post-annotations="enabled" />

次のようなBeanを作成します。

@Component("mySecurityService") public class MySecurityService { public boolean hasPermission(String key) { return true; } }

次に、jspで次のようなことを行います。

<sec:authorize access="@mySecurityService.hasPermission('special')"> <input type="button" value="Special Button" /> </sec:authorize>

または、メソッドに注釈を付けます：

@PreAuthorize("@mySecurityService.hasPermission('special')") public void doSpecialStuff() { ... }

さらに、@PreAuthorizeアノテーションで Spring Expression Language を使用して、現在の認証とメソッドの引数にアクセスできます。

例えば：

@Component("mySecurityService") public class MySecurityService { public boolean hasPermission(Authentication authentication, String foo) { ... } }

次に、@PreAuthorizeを更新して、新しいメソッドシグネチャに一致させます。

@PreAuthorize("@mySecurityService.hasPermission(authentication, #foo)") public void doSpecialStuff(String foo) { ... }

Joseph Lust · Answer

ericacm に感謝しますが、いくつかの理由で機能しません：

DefaultMethodSecurityExpressionHandlerのプロパティはプライベートです（反射可視性のクラッジは望ましくありません）
少なくとも私のEclipseでは、MethodSecurityEvaluationContextオブジェクトを解決できません

違いは、既存の createEvaluationContext メソッドを呼び出してから、カスタムルートオブジェクトを追加することです。最後に、コンパイラでMethodSecurityEvaluationContextが解決されないため（両方とも同じインターフェイスから）、 StandardEvaluationContext オブジェクトタイプを返しました。これは、私が現在生産しているコードです。

MethodSecurityExpressionHandler カスタムルートを使用します。

public class CustomMethodSecurityExpressionHandler extends DefaultMethodSecurityExpressionHandler { // parent constructor public CustomMethodSecurityExpressionHandler() { super(); } /** * Custom override to use {@link CustomSecurityExpressionRoot} * * Uses a {@link MethodSecurityEvaluationContext} as the <tt>EvaluationContext</tt> implementation and * configures it with a {@link MethodSecurityExpressionRoot} instance as the expression root object. */ @Override public EvaluationContext createEvaluationContext(Authentication auth, MethodInvocation mi) { // due to private methods, call original method, then override it's root with ours StandardEvaluationContext ctx = (StandardEvaluationContext) super.createEvaluationContext(auth, mi); ctx.setRootObject( new CustomSecurityExpressionRoot(auth) ); return ctx; } }

これは、 SecurityExpressionRoot を拡張することにより、デフォルトのルートを置き換えます。ここで、hasRoleの名前をhasEntitlementに変更しました。

public class CustomSecurityExpressionRoot extends SecurityExpressionRoot { // parent constructor public CustomSecurityExpressionRoot(Authentication a) { super(a); } /** * Pass through to hasRole preserving Entitlement method naming convention * @param expression * @return boolean */ public boolean hasEntitlement(String expression) { return hasRole(expression); } }

最後にsecurityContext.xmlを更新します（そしてapplcationContext.xmlから参照されていることを確認してください）：

<!-- setup method level security using annotations --> <security:global-method-security jsr250-annotations="disabled" secured-annotations="disabled" pre-post-annotations="enabled"> <security:expression-handler ref="expressionHandler"/> </security:global-method-security> <!--<bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">--> <bean id="expressionHandler" class="com.yourSite.security.CustomMethodSecurityExpressionHandler" />

注：@Securedアノテーションは、異なる検証ハンドラーを実行するため、このオーバーライドを受け入れません。したがって、上記のxmlでは、後で混乱しないように無効にしました。