我有弹簧启动应用程序,它暴露受Spring安全保护的REST端点。
我需要根据服务调用限制对某些路径的访问。假设我有这样的服务:
@Service
public class AccessService {
boolean hasAccess(String requestedPath) {
// some business logic here
}
}
该服务将检查用户角色,一些业务条件并返回true或false。
现在我需要将此服务调用集成到我的安全配置中。
到目前为止,我有这样的配置:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
...
.and().authorizeRequests()
.anyRequest().hasRole("USER");
}
我看不到在这里添加服务调用的方法(因为它是完全静态的)。
我在尝试什么:
目前我正在考虑覆盖我的AuthenticationProvider并使用附加功能扩展它。
另一种选择是从一个可以进行某种授权的类扩展我的REST控制器,但我不确定它是否可行。
问题:如何基于服务方法调用保护REST端点?这样做的正确方法是什么?
这在the reference guide中有解释。基本上你需要使用access表达式而不是hasRole。然后,您可以编写强大的安全表达式
像下面这样的东西应该做的伎俩:
anyRequest()
.access("@accessService.hasAccess(request.requestURI) && hasRole('USER')");
这限制了具有ROLE_USER角色的用户访问权限,并且可以根据您自己的自定义逻辑进行访问。
我认为一个很好的方法是使用@PreAuthorize有些文档可以在这里找到:Expression-Based Access Control。
您还可以添加自己的评估者类/方法,以根据您的特定需求进行定制:@PreAuthorize("@customPermissionEvaluator.accessMethod(variable)")
示例类:
@Service(value = "customPermissionEvaluator")
public class CustomPermissionEvaluatorImpl implements CustomPermissionEvaluator {
@Override
public boolean accessMethod(int variable) {
if (variable == 1) {
return true;
}
return false;
}
}