安全

Spring Data REST 与 Spring Security 配合得很好。本节展示了如何使用方法级安全性来保护 Spring Data REST 服务的示例。

@Pre@Post 安全性

以下示例来自 Spring Data REST 的测试套件,展示了 Spring Security 的 PreAuthorization 模型(最复杂的安全模型)

示例 1. spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/PreAuthorizedOrderRepository.java
@PreAuthorize("hasRole('ROLE_USER')") (1)
public interface PreAuthorizedOrderRepository extends CrudRepository<Order, UUID> {

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	Optional<Order> findById(UUID id);

	@PreAuthorize("hasRole('ROLE_ADMIN')") (2)
	@Override
	void deleteById(UUID aLong);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void delete(Order order);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll(Iterable<? extends Order> orders);

	@PreAuthorize("hasRole('ROLE_ADMIN')")
	@Override
	void deleteAll();
}
1 此 Spring Security 注解可保护整个存储库。Spring Security SpEL 表达式 指示主体在其角色集合中必须具有 ROLE_USER
2 要更改方法级设置,您必须重写方法签名并应用 Spring Security 注解。在这种情况下,该方法会覆盖存储库级设置,要求用户拥有 ROLE_ADMIN 才能执行删除操作。

前面的示例显示了一个标准的 Spring Data 存储库定义,它扩展了 CrudRepository,并进行了一些关键更改:为访问各种方法指定了特定的角色。

存储库和方法级别安全设置不组合。相反,方法级别设置会覆盖存储库级别设置。

前面的示例说明 CrudRepository 实际上有四个删除方法。您必须重写所有删除方法才能正确保护它。

@Secured 安全性

以下示例展示了 Spring Security 较旧的 @Secured 注解,它纯粹基于角色。

示例 2. spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecuredPersonRepository.java
@Secured("ROLE_USER") (1)
@RepositoryRestResource(collectionResourceRel = "people", path = "people")
public interface SecuredPersonRepository extends CrudRepository<Person, UUID> {

	@Secured("ROLE_ADMIN") (2)
	@Override
	void deleteById(UUID aLong);

	@Secured("ROLE_ADMIN")
	@Override
	void delete(Person person);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll(Iterable<? extends Person> persons);

	@Secured("ROLE_ADMIN")
	@Override
	void deleteAll();
}
1 这会导致与前面示例相同的安全检查,但灵活性较低。它只允许以角色作为限制访问的手段。
2 同样,这表明删除方法需要 ROLE_ADMIN
如果您从一个新项目开始或首次应用 Spring Security,@PreAuthorize 是推荐的解决方案。如果您已在应用程序的其他部分使用 Spring Security 和 @Secured,则可以继续该路径而无需重写所有内容。

启用方法级安全性

要配置方法级安全性,这里是 Spring Data REST 测试套件中的一个简短片段:

示例 3. spring-data-rest-tests/spring-data-rest-tests-security/src/test/java/org/springframework/data/rest/tests/security/SecurityConfiguration.java
@Configuration (1)
@EnableWebSecurity
@EnableMethodSecurity(securedEnabled = true, prePostEnabled = true) (2)
class SecurityConfiguration { (3)
	...
}
1 这是一个 Spring 配置类。
2 它使用 Spring Security 的 @EnableGlobalMethodSecurity 注解来启用 @Secured@Pre/@Post 支持。注意:您不必同时使用两者。这个特殊情况用于证明两个版本都适用于 Spring Data REST。
3 此类扩展了 Spring Security 的 WebSecurityConfigurerAdapter,用于纯 Java 安全配置。

配置类的其余部分未列出,因为它遵循您可以在 Spring Security 参考文档中阅读到的 标准实践

© . This site is unofficial and not affiliated with VMware.