我有一个 Spring MVC 应用程序,它呈现一个 View ,该 View 显示来自 Customer 实体的所有字段,例如姓名、地址、电话号码等。该应用程序具有各种角色,例如 ROLE_USER 和 ROLE_ADMIN。具有 ROLE_USER 的用户只能看到客户名称,而具有 ROLE_ADMIN 的用户可以看到所有客户字段。
目前我实现它的方式是使用 Thymeleaf使用 SpringSecurityDialect 的 View 根据用户角色限制对某些字段的访问:
<th:block sec:authorize="hasRole('ROLE_ADMIN')">
<div th:text="${customer.phoneNumber}" />
</th:block>
虽然这工作得很好,但感觉不对,而且很难测试。我想针对 Controller 编写测试,该 Controller 使用具有不同角色的主体调用 Controller 方法,例如 testViewCustomerAsRoleAdmin 和 testViewCustomerAsRoleUser。这是不可能验证的,因为 Controller 将 Customer 返回到 View ,该 View 已完全填充并且每个字段都可以通过 getter 访问。
我所追求的是实体级别的某种字段级安全性,我可以在其中使用 Spring Security 注释:
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String getPhoneNumber()
{
return phoneNumber;
}
如果委托(delegate)人未获授权,当尝试访问该字段时,如果这可以引发 AccessDeniedException,那将是理想的选择。
Jersey 项目似乎有提到的这种概念here , here和一个例子 here .然而,它似乎仅限于基于角色的安全性,而不是 @PreAuthorize
是否有任何方法或使用 Spring Security 实现此类事情,我知道安全上下文或 SpEL 评估上下文在实体中不可用,因为它们不是 Spring 管理的。如果没有,是否有任何其他方法可以让我实现同样的目标?
编辑:
我不完全了解 Spring Security 框架,但似乎可以在 ApectJ 模式下使用 Spring AOP 来检测域(实体)类的方法。然后就是获取 AccessDecisionManager 并传递身份验证(大概是从 SecurityContextHolder 获得)以及域类方法上的注释内容(如果存在)。有没有人有做这种事情的经验?
最佳答案
我已经设法在 AspectJ 模式下使用 Spring AOP 解决了这个问题。如果您启用 AspectJ 模式并执行编译时或加载时编织,则各种 Spring 注释(如 @Transactional 和 @PreAuthorize 将适用于任何非 Spring 托管类,那里这里是一个很好的例子:https://github.com/spring-projects/spring-security/tree/4.0.1.RELEASE/samples/aspectj-jc
您需要确保您的项目中有 spring-security-aspects 依赖项(如果您使用的是编译时编织,则为插件)以启用 @Secured<>注释。尽管 AnnotationSecurityAspect 中的注释将类描述为:
Concrete AspectJ aspect using Spring Security @Secured annotation for JDK 1.5+.
该类实际上编织了其他 Spring 注释,包括 @PreAuthorize、@PreFilter、@PostAuthorize 和 @PostFilter.
关于java - Spring Security 实体字段级安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31442613/
我有一个表单,其中有很多字段取自数组(而不是模型或对象)。我如何验证这些字段的存在?solve_problem_pathdo|f|%>... 最佳答案 创建一个简单的类来包装请求参数并使用ActiveModel::Validations。#definedsomewhere,atthesimplest:require'ostruct'classSolvetrue#youcouldevencheckthesolutionwithavalidatorvalidatedoerrors.add(:base,"WRONG!!!")unlesss
我想向我的Controller传递一个参数,它是一个简单的复选框,但我不知道如何在模型的form_for中引入它,这是我的观点:{:id=>'go_finance'}do|f|%>Transferirde:para:Entrada:"input",:placeholder=>"Quantofoiganho?"%>Saída:"output",:placeholder=>"Quantofoigasto?"%>Nota:我想做一个额外的复选框,但我该怎么做,模型中没有一个对象,而是一个要检查的对象,以便在Controller中创建一个ifelse,如果没有检查,请帮助我,非常感谢,谢谢
我正在编写一个小脚本来定位aws存储桶中的特定文件,并创建一个临时验证的url以发送给同事。(理想情况下,这将创建类似于在控制台上右键单击存储桶中的文件并复制链接地址的结果)。我研究过回形针,它似乎不符合这个标准,但我可能只是不知道它的全部功能。我尝试了以下方法:defauthenticated_url(file_name,bucket)AWS::S3::S3Object.url_for(file_name,bucket,:secure=>true,:expires=>20*60)end产生这种类型的结果:...-1.amazonaws.com/file_path/file.zip.A
我真的很习惯使用Ruby编写以下代码:my_hash={}my_hash['test']=1Java中对应的数据结构是什么? 最佳答案 HashMapmap=newHashMap();map.put("test",1);我假设? 关于java-等价于Java中的RubyHash,我们在StackOverflow上找到一个类似的问题: https://stackoverflow.com/questions/22737685/
我知道我可以指定某些字段来使用pluck查询数据库。ids=Item.where('due_at但是我想知道,是否有一种方法可以指定我想避免从数据库查询的某些字段。某种反拔?posts=Post.where(published:true).do_not_lookup(:enormous_field) 最佳答案 Model#attribute_names应该返回列/属性数组。您可以排除其中一些并传递给pluck或select方法。像这样:posts=Post.where(published:true).select(Post.attr
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
在Ruby中是否有Gem或安全删除文件的方法?我想避免系统上可能不存在的外部程序。“安全删除”指的是覆盖文件内容。 最佳答案 如果您使用的是*nix,一个很好的方法是使用exec/open3/open4调用shred:`shred-fxuz#{filename}`http://www.gnu.org/s/coreutils/manual/html_node/shred-invocation.html检查这个类似的帖子:Writingafileshredderinpythonorruby?
我只想对我一直在思考的这个问题有其他意见,例如我有classuser_controller和classuserclassUserattr_accessor:name,:usernameendclassUserController//dosomethingaboutanythingaboutusersend问题是我的User类中是否应该有逻辑user=User.newuser.do_something(user1)oritshouldbeuser_controller=UserController.newuser_controller.do_something(user1,user2)我
什么是ruby的rack或python的Java的wsgi?还有一个路由库。 最佳答案 来自Python标准PEP333:Bycontrast,althoughJavahasjustasmanywebapplicationframeworksavailable,Java's"servlet"APImakesitpossibleforapplicationswrittenwithanyJavawebapplicationframeworktoruninanywebserverthatsupportstheservletAPI.ht
这篇文章是继上一篇文章“Observability:从零开始创建Java微服务并监控它(一)”的续篇。在上一篇文章中,我们讲述了如何创建一个Javaweb应用,并使用Filebeat来收集应用所生成的日志。在今天的文章中,我来详述如何收集应用的指标,使用APM来监控应用并监督web服务的在线情况。源码可以在地址 https://github.com/liu-xiao-guo/java_observability 进行下载。摄入指标指标被视为可以随时更改的时间点值。当前请求的数量可以改变任何毫秒。你可能有1000个请求的峰值,然后一切都回到一个请求。这也意味着这些指标可能不准确,你还想提取最小/