Spring-SpEL将实体参数评估为@PreAuthorize（“ hasPermission”）中的空引用

Question

我有一个问题，就是SpEL在此存储库的第二种方法中将实体参数评估为空引用。 第一种方法可以正常工作，并且id应该正确地评估为Long。

@NoRepositoryBean
public interface SecuredPagingAndSortingRepository<T extends AuditedEntity, ID extends Serializable>
        extends PagingAndSortingRepository<T, ID> {

    @Override
    @RestResource(exported = false)
    @PreAuthorize("hasPermission(#id, null, 'owner')")
    void delete(ID id);

    @Override
    @PreAuthorize("hasPermission(#entity, 'owner')")
    void delete(T entity);
}

这是我的自定义PermissionEvaluator：

@Slf4j
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {

    private final PermissionResolverFactory permissionResolverFactory;

    @Autowired
    public CustomPermissionEvaluator(PermissionResolverFactory permissionResolverFactory) {
        this.permissionResolverFactory = permissionResolverFactory;
    }

    @Override
    public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
        UserDetails userDetails = (UserDetails) authentication.getPrincipal();
        Assert.notNull(userDetails, "User details cannot be null");
        Assert.notNull(targetDomainObject, "Target object cannot be null");
        log.debug("Permmission: " + permission + " check on: " + targetDomainObject + " for user: " + userDetails.getUsername());

        PermissionType permissionType = PermissionType.valueOf(((String) permission).toUpperCase());
        return permissionResolverFactory.getPermissionResolver(permissionType).resolve(targetDomainObject.getClass(), authentication, (AuditedEntity) targetDomainObject);
    }

    @Override
    public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
        // TODO
        return false;
    }
}

由于断言目标对象在CustomPermissionEvaluator中不能为null，因此该测试未通过。

@RunWith(SpringRunner.class)
@SpringBootTest
@Transactional
@ContextConfiguration(classes = SqapApiApplication.class)
public class PermissionsIT {
    @Autowired
    private TestGroupRepository testGroupRepository;

    @Autowired
    private UserRepository userRepository;

    UserEntity user;

    @Before
    public void before() {
        user = new UserEntity("user", "password1", true, Sets.newHashSet(RoleType.ROLE_USER));
        user = userRepository.save(user);
    }

    @Test
    @WithMockUser(username="user")
    public void shouldDeleteWhenIsOwner() throws Exception {
        TestGroupEntity testGroupEntity = new TestGroupEntity("testGroup", "testdesc", Sets.newHashSet(new AbxTestEntity(1, "abx", "desc", null)));
        user.addTestGroup(testGroupEntity);
        user = userRepository.save(user);
        TestGroupEntity createdEntity = testGroupRepository.findAll().iterator().next();
        testGroupRepository.delete(createdEntity);
    }
}

Answer 1

在接口中从spel引用方法参数时，需要用Spring Data的@Param对其进行注释以显式命名它们：

@PreAuthorize("hasPermission(#entity, 'owner')")
void delete(@Param("entity") T entity);

如果没有注释参数，Spring必须使用反射来发现参数名称。 仅在以下情况下才可以使用接口方法

您正在运行Spring 4+
您正在运行Java 8
接口是使用JDK 8编译的，并且指定了-parameters标志

对于类方法，Spring还有另一个选择-它可以使用调试信息。 这可以在Spring 3和Java的早期版本中使用，但同样要依靠编译时标志（即-g ）来工作。

为了实现可移植性，最好注释所有需要引用的参数。

参考：使用@PreAuthorize和@PostAuthorize的访问控制。

Spring-SpEL将实体参数评估为@PreAuthorize（“ hasPermission”）中的空引用

问题描述

1 个解决方案

解决方案1
5 已采纳 2016-12-28 07:45:29

Spring-SpEL将实体参数评估为@PreAuthorize（“ hasPermission”）中的空引用

问题描述

1 个解决方案

解决方案1 5 已采纳 2016-12-28 07:45:29

解决方案1
5 已采纳 2016-12-28 07:45:29