我有一个 Spring MVC 应用程序,它呈现一个 View ,该 View 显示来自 Customer 实体的所有字段,例如姓名、地址、电话号码等。该应用程序具有各种角色,例如 ROLE_USER 和 ROLE_ADMIN。具有 ROLE_USER 的用户只能看到客户名称,而具有 ROLE_ADMIN 的用户可以看到所有客户字段。
目前我实现它的方式是使用 Thymeleaf使用 SpringSecurityDialect 的 View 根据用户角色限制对某些字段的访问:
<th:block sec:authorize="hasRole('ROLE_ADMIN')">
<div th:text="${customer.phoneNumber}" />
</th:block>
虽然这工作得很好,但感觉不对,而且很难测试。我想针对 Controller 编写测试,该 Controller 使用具有不同角色的主体调用 Controller 方法,例如 testViewCustomerAsRoleAdmin 和 testViewCustomerAsRoleUser。这是不可能验证的,因为 Controller 将 Customer 返回到 View ,该 View 已完全填充并且每个字段都可以通过 getter 访问。
我所追求的是实体级别的某种字段级安全性,我可以在其中使用 Spring Security 注释:
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String getPhoneNumber()
{
return phoneNumber;
}
如果委托(delegate)人未获授权,当尝试访问该字段时,如果这可以引发 AccessDeniedException,那将是理想的选择。
Jersey 项目似乎有提到的这种概念here , here和一个例子 here .然而,它似乎仅限于基于角色的安全性,而不是 @PreAuthorize
是否有任何方法或使用 Spring Security 实现此类事情,我知道安全上下文或 SpEL 评估上下文在实体中不可用,因为它们不是 Spring 管理的。如果没有,是否有任何其他方法可以让我实现同样的目标?
编辑:
我不完全了解 Spring Security 框架,但似乎可以在 ApectJ 模式下使用 Spring AOP 来检测域(实体)类的方法。然后就是获取 AccessDecisionManager 并传递身份验证(大概是从 SecurityContextHolder 获得)以及域类方法上的注释内容(如果存在)。有没有人有做这种事情的经验?
最佳答案
我已经设法在 AspectJ 模式下使用 Spring AOP 解决了这个问题。如果您启用 AspectJ 模式并执行编译时或加载时编织,则各种 Spring 注释(如 @Transactional 和 @PreAuthorize 将适用于任何非 Spring 托管类,那里这里是一个很好的例子:https://github.com/spring-projects/spring-security/tree/4.0.1.RELEASE/samples/aspectj-jc
您需要确保您的项目中有 spring-security-aspects 依赖项(如果您使用的是编译时编织,则为插件)以启用 @Secured< 的编织注释。尽管 AnnotationSecurityAspect 中的注释将类描述为:
Concrete AspectJ aspect using Spring Security @Secured annotation for JDK 1.5+.
该类实际上编织了其他 Spring 注释,包括 @PreAuthorize、@PreFilter、@PostAuthorize 和 @PostFilter.
关于java - Spring Security 实体字段级安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31442613/