对于最新的稳定版本，请使用 Spring Security 6.5.3！spring-doc.cadn.net.cn

基于表达式的访问控制

概述

Spring Security 使用 SpEL 来支持表达式，如果您有兴趣更深入地理解该主题，您应该查看它是如何工作的。表达式使用“根对象”作为评估上下文的一部分进行计算。 Spring Security 使用用于 Web 和方法安全性的特定类作为根对象来提供内置表达式和对值的访问，例如当前主体。spring-doc.cadn.net.cn

常见的内置表达式

表达式根对象的基类是SecurityExpressionRoot. 这提供了一些在 Web 和方法安全性中可用的常见表达式：spring-doc.cadn.net.cn

表 1.常见的内置表达式
表达	描述
`hasRole(String role)`spring-doc.cadn.net.cn	返回`true`如果当前主体具有指定的角色。spring-doc.cadn.net.cn 例：`hasRole('admin')`spring-doc.cadn.net.cn 默认情况下，如果提供的角色不是以`ROLE_`，它被添加。您可以通过修改`defaultRolePrefix`上`DefaultWebSecurityExpressionHandler`.spring-doc.cadn.net.cn
`hasAnyRole(String… roles)`spring-doc.cadn.net.cn	返回`true`如果当前主体具有任何提供的角色（以逗号分隔的字符串列表给出）。spring-doc.cadn.net.cn 例：`hasAnyRole('admin', 'user')`.spring-doc.cadn.net.cn 默认情况下，如果提供的角色不是以`ROLE_`，它被添加。您可以通过修改`defaultRolePrefix`上`DefaultWebSecurityExpressionHandler`.spring-doc.cadn.net.cn
`hasAuthority(String authority)`spring-doc.cadn.net.cn	返回`true`如果当前主体具有指定的权限。spring-doc.cadn.net.cn 例：`hasAuthority('read')`spring-doc.cadn.net.cn
`hasAnyAuthority(String… authorities)`spring-doc.cadn.net.cn	返回`true`如果当前主体具有任何提供的权限（以逗号分隔的字符串列表形式给出）。spring-doc.cadn.net.cn 例：`hasAnyAuthority('read', 'write')`.spring-doc.cadn.net.cn
`principal`spring-doc.cadn.net.cn	允许直接访问表示当前用户的主体对象。spring-doc.cadn.net.cn
`authentication`spring-doc.cadn.net.cn	允许直接访问当前`Authentication`从`SecurityContext`.spring-doc.cadn.net.cn
`permitAll`spring-doc.cadn.net.cn	始终计算为`true`.spring-doc.cadn.net.cn
`denyAll`spring-doc.cadn.net.cn	始终计算为`false`.spring-doc.cadn.net.cn
`isAnonymous()`spring-doc.cadn.net.cn	返回`true`如果当前主体是匿名用户。spring-doc.cadn.net.cn
`isRememberMe()`spring-doc.cadn.net.cn	返回`true`如果当前主体是记住我用户。spring-doc.cadn.net.cn
`isAuthenticated()`spring-doc.cadn.net.cn	返回`true`如果用户不是匿名的。spring-doc.cadn.net.cn
`isFullyAuthenticated()`spring-doc.cadn.net.cn	返回`true`如果用户不是匿名用户，也不是记住我用户。spring-doc.cadn.net.cn
`hasPermission(Object target, Object permission)`spring-doc.cadn.net.cn	返回`true`如果用户有权访问给定权限的提供的目标。例`hasPermission(domainObject, 'read')`.spring-doc.cadn.net.cn
`hasPermission(Object targetId, String targetType, Object permission)`spring-doc.cadn.net.cn	返回`true`如果用户有权访问给定权限的提供的目标。例`hasPermission(1, 'com.example.domain.Message', 'read')`.spring-doc.cadn.net.cn

Web 安全表达式

要使用表达式来保护单个 URL，您首先需要将use-expressions属性中的<http>元素设置为true. 然后，Spring Security 期望access属性<intercept-url>元素以包含 SpEL 表达式。每个表达式的计算结果都应为布尔值，定义是否应允许访问。以下列表显示了一个示例：spring-doc.cadn.net.cn

<http>
	<intercept-url pattern="/admin*"
		access="hasRole('admin') and hasIpAddress('192.168.1.0/24')"/>
	...
</http>

在这里，我们定义了admin应用程序的区域（由 URL 模式定义）应仅对具有被授予权限（admin）的 IP 地址与本地子网匹配。我们已经看到了内置的hasRole表达式。这hasIpAddressexpression 是特定于 Web 安全性的附加内置表达式。它由WebSecurityExpressionRoot类，在计算 Web 访问表达式时，其实例用作表达式根对象。这个对象还直接暴露了HttpServletRequest对象request以便您可以直接在表达式中调用请求。如果使用表达式，则WebExpressionVoter添加到AccessDecisionManager命名空间使用的。因此，如果您不使用命名空间并想要使用表达式，则必须将其中一个添加到配置中。spring-doc.cadn.net.cn

在 Web 安全表达式中引用 Bean

如果您希望扩展可用的表达式，您可以轻松引用您公开的任何 Spring Bean。例如，您可以使用以下内容，假设您有一个名称为webSecurity包含以下方法签名：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

public class WebSecurity {
		public boolean check(Authentication authentication, HttpServletRequest request) {
				...
		}
}

class WebSecurity {
    fun check(authentication: Authentication?, request: HttpServletRequest?): Boolean {
        // ...
    }
}

然后，您可以参考如下方法：spring-doc.cadn.net.cn

参考方法

http
    .authorizeHttpRequests(authorize -> authorize
        .requestMatchers("/user/**").access(new WebExpressionAuthorizationManager("@webSecurity.check(authentication,request)"))
        ...
    )

<http>
	<intercept-url pattern="/user/**"
		access="@webSecurity.check(authentication,request)"/>
	...
</http>

http {
    authorizeRequests {
        authorize("/user/**", "@webSecurity.check(authentication,request)")
    }
}

Web 安全表达式中的路径变量

有时，能够引用 URL 中的路径变量是件好事。例如，考虑一个 RESTful 应用程序，它通过 URL 路径中的 ID 查找用户，格式为/user/{userId}.spring-doc.cadn.net.cn

您可以通过将路径变量放置在模式中来轻松引用它。例如，如果你有一个名称为webSecurity包含以下方法签名：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

public class WebSecurity {
		public boolean checkUserId(Authentication authentication, int id) {
				...
		}
}

class WebSecurity {
    fun checkUserId(authentication: Authentication?, id: Int): Boolean {
        // ...
    }
}

然后，您可以参考如下方法：spring-doc.cadn.net.cn

路径变量

http
	.authorizeHttpRequests(authorize -> authorize
		.requestMatchers("/user/{userId}/**").access(new WebExpressionAuthorizationManager("@webSecurity.checkUserId(authentication,#userId)"))
		...
	);

<http>
	<intercept-url pattern="/user/{userId}/**"
		access="@webSecurity.checkUserId(authentication,#userId)"/>
	...
</http>

http {
    authorizeRequests {
        authorize("/user/{userId}/**", "@webSecurity.checkUserId(authentication,#userId)")
    }
}

在此配置中，匹配的 URL 将传入路径变量（并将其转换为checkUserId方法。例如，如果 URL 是/user/123/resource，则传入的 ID 将为123.spring-doc.cadn.net.cn

方法安全表达式

方法安全性比简单的允许或拒绝规则要复杂一些。 Spring Security 3.0引入了一些新的注释，以允许对表达式的使用提供全面支持。spring-doc.cadn.net.cn

@Pre和@Post注释

有四个注释支持表达式属性，以允许调用前和调用后的授权检查，并支持过滤提交的集合参数或返回值。他们是@PreAuthorize,@PreFilter,@PostAuthorize和@PostFilter. 它们的使用是通过global-method-securitynamespace 元素：spring-doc.cadn.net.cn

<global-method-security pre-post-annotations="enabled"/>

使用 @PreAuthorize 和 @PostAuthorize 的访问控制

最明显有用的注释是@PreAuthorize，它决定是否可以实际调用方法。以下示例（来自“联系人”示例应用程序）使用@PreAuthorize注解：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@PreAuthorize("hasRole('USER')")
public void create(Contact contact);

@PreAuthorize("hasRole('USER')")
fun create(contact: Contact?)

这意味着仅允许具有ROLE_USER角色。显然，通过为所需角色使用传统配置和简单的配置属性，可以轻松实现同样的事情。但是，请考虑以下示例：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);

@PreAuthorize("hasPermission(#contact, 'admin')")
fun deletePermission(contact: Contact?, recipient: Sid?, permission: Permission?)

在这里，我们实际上使用方法参数作为表达式的一部分来决定当前用户是否具有admin给定联系人的权限。内置的hasPermission()expression 通过应用程序上下文链接到 Spring Security ACL 模块，正如我们在本节后面看到的那样。您可以按名称作为表达式变量访问任何方法参数。spring-doc.cadn.net.cn

Spring Security 可以通过多种方式解析方法参数。 Spring Security 使用DefaultSecurityParameterNameDiscoverer以发现参数名称。默认情况下，将为方法尝试以下选项。spring-doc.cadn.net.cn

如果 Spring Security 的@P注释存在于方法的单个参数上，则使用该值。这对于使用 JDK 8 之前的 JDK 编译的接口（不包含有关参数名称的任何信息）非常有用。以下示例使用@P注解：spring-doc.cadn.net.cn
- Javaspring-doc.cadn.net.cn
- Kotlinspring-doc.cadn.net.cn
import org.springframework.security.access.method.P; ... @PreAuthorize("#c.name == authentication.name") public void doSomething(@P("c") Contact contact);
import org.springframework.security.access.method.P ... @PreAuthorize("#c.name == authentication.name") fun doSomething(@P("c") contact: Contact?)
在幕后，这是通过使用AnnotationParameterNameDiscoverer，您可以自定义它以支持任何指定注释的 value 属性。spring-doc.cadn.net.cn
如果 Spring Data 的@Param注释存在于该方法的至少一个参数上，则使用该值。这对于使用 JDK 8 之前的 JDK 编译的接口非常有用，这些接口不包含有关参数名称的任何信息。以下示例使用@Param注解：spring-doc.cadn.net.cn
- Javaspring-doc.cadn.net.cn
- Kotlinspring-doc.cadn.net.cn
import org.springframework.data.repository.query.Param; ... @PreAuthorize("#n == authentication.name") Contact findContactByName(@Param("n") String name);
import org.springframework.data.repository.query.Param ... @PreAuthorize("#n == authentication.name") fun findContactByName(@Param("n") name: String?): Contact?
在幕后，这是通过使用AnnotationParameterNameDiscoverer，您可以自定义它以支持任何指定注释的 value 属性。spring-doc.cadn.net.cn
如果使用 JDK 8 编译源代码，则-parameters参数，并且正在使用 Spring 4+，则使用标准 JDK 反射 API 来发现参数名称。这适用于类和接口。spring-doc.cadn.net.cn
最后，如果代码是使用调试符号编译的，则使用调试符号发现参数名称。这不适用于接口，因为它们没有有关参数名称的调试信息。对于接口，必须使用注释或 JDK 8 方法。spring-doc.cadn.net.cn

表达式中提供了任何 SpEL 功能，因此您也可以访问参数的属性。例如，如果您希望特定方法仅允许用户名与联系人的用户名匹配的用户访问，则可以将spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@PreAuthorize("#contact.name == authentication.name")
public void doSomething(Contact contact);

@PreAuthorize("#contact.name == authentication.name")
fun doSomething(contact: Contact?)

在这里，我们访问另一个内置表达式authentication，即Authentication存储在安全上下文中。您还可以访问其principal属性，直接使用principal表达。该值通常为UserDetails实例，因此您可以使用诸如principal.username或principal.enabled.spring-doc.cadn.net.cn

使用@PreFilter和@PostFilter进行筛选

Spring Security 支持使用表达式过滤集合、数组、映射和流。这最常对方法的返回值执行。以下示例使用@PostFilter:spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@PreAuthorize("hasRole('USER')")
@PostFilter("hasPermission(filterObject, 'read') or hasPermission(filterObject, 'admin')")
public List<Contact> getAll();

@PreAuthorize("hasRole('USER')")
@PostFilter("hasPermission(filterObject, 'read') or hasPermission(filterObject, 'admin')")
fun getAll(): List<Contact?>

使用@PostFilter注释，Spring Security 会迭代返回的集合或映射，并删除所提供表达式为 false 的任何元素。对于数组，将返回包含过滤元素的新数组实例。filterObject引用集合中的当前对象。当使用地图时，它指的是当前Map.Entry对象，它允许您使用filterObject.key或filterObject.value在表达式中。还可以在方法调用之前使用@PreFilter，尽管这是一个不太常见的要求。语法是相同的。但是，如果有多个参数是集合类型，则必须使用filterTarget属性。spring-doc.cadn.net.cn

请注意，筛选显然不能替代调整数据检索查询。如果要过滤大型集合并删除许多条目，则这可能效率低下。spring-doc.cadn.net.cn

内置表达式

有一些特定于方法安全性的内置表达式，我们之前已经在使用中看到过。这filterTarget和returnValue值很简单，但使用hasPermission()表达值得仔细研究。spring-doc.cadn.net.cn

PermissionEvaluator 接口

hasPermission()表达式被委托给PermissionEvaluator. 它旨在在表达式系统和 Spring Security 的 ACL 系统之间架起桥梁，允许您根据抽象权限对域对象指定授权约束。它对 ACL 模块没有显式依赖关系，因此您可以根据需要将其换成替代实现。该接口有两种方法：spring-doc.cadn.net.cn

boolean hasPermission(Authentication authentication, Object targetDomainObject,
							Object permission);

boolean hasPermission(Authentication authentication, Serializable targetId,
							String targetType, Object permission);

这些方法直接映射到表达式的可用版本，但第一个参数（Authenticationobject）未提供。第一种用于已加载控制访问的域对象的情况。然后表达式返回true如果当前用户对该对象具有给定的权限。第二个版本用于未加载对象但已知其标识符的情况。还需要域对象的抽象“类型”说明符，以便加载正确的 ACL 权限。这传统上是对象的 Java 类，但不一定是，只要它与权限的加载方式一致即可。spring-doc.cadn.net.cn

使用hasPermission()表达式，则必须显式配置PermissionEvaluator在您的应用程序上下文中。以下示例显示了如何执行此作：spring-doc.cadn.net.cn

<security:global-method-security pre-post-annotations="enabled">
<security:expression-handler ref="expressionHandler"/>
</security:global-method-security>

<bean id="expressionHandler" class=
"org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
	<property name="permissionEvaluator" ref="myPermissionEvaluator"/>
</bean>

哪里myPermissionEvaluator是实现PermissionEvaluator. 通常，这是来自 ACL 模块的实现，称为AclPermissionEvaluator. 请参阅Contacts示例应用程序配置以了解更多详细信息。spring-doc.cadn.net.cn

方法安全性元注释

您可以利用元注释来确保方法安全，以使您的代码更具可读性。如果您发现在整个代码库中重复相同的复杂表达式，这将特别方便。例如，请考虑以下情况：spring-doc.cadn.net.cn

@PreAuthorize("#contact.name == authentication.name")

您可以创建一个元注释，而不是在任何地方重复此作：spring-doc.cadn.net.cn

Javaspring-doc.cadn.net.cn
Kotlinspring-doc.cadn.net.cn

@Retention(RetentionPolicy.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
public @interface ContactPermission {}

@Retention(AnnotationRetention.RUNTIME)
@PreAuthorize("#contact.name == authentication.name")
annotation class ContactPermission

您可以对任何 Spring Security 方法安全注释使用元注释。为了保持符合规范，JSR-250 注释不支持元注释。spring-doc.cadn.net.cn