方法安全

<method-security>

此元素是添加对保护 Spring Security bean 上方法的支持的主要方法。可以使用注解(在接口或类级别定义)或通过定义一组切点来保护方法。

<method-security> 属性

  • pre-post-enabled 为此应用程序上下文启用 Spring Security 的方法调用前和调用后注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为“true”。

  • secured-enabled 为此应用程序上下文启用 Spring Security 的 @Secured 注解。默认为“false”。

  • jsr250-enabled 为此应用程序上下文启用 JSR-250 授权注解(@RolesAllowed、@PermitAll、@DenyAll)。默认为“false”。

  • mode 如果设置为“aspectj”,则使用 AspectJ 来拦截方法调用。

  • proxy-target-class 如果为 true,则将使用基于类的代理而不是基于接口的代理。默认为“false”。

  • security-context-holder-strategy-ref 指定在检索 SecurityContext 时要使用的 SecurityContextHolderStrategy。默认为 SecurityContextHolder.getContextHolderStrategy() 返回的值。

  • observation-registry-ref 对用于FilterChain和相关组件的ObservationRegistry的引用。

<method-security> 的子元素

<global-method-security>

此元素是添加对保护 Spring Security bean 上方法的支持的主要方法。可以使用注解(在接口或类级别定义)或通过使用 AspectJ 语法将切点定义为子元素来保护方法。

<global-method-security> 属性

  • access-decision-manager-ref 方法安全使用与 Web 安全相同的AccessDecisionManager配置,但这可以使用此属性进行覆盖。默认情况下,使用具有 RoleVoter 和 AuthenticatedVoter 的 AffirmativeBased 实现。

  • authentication-manager-ref 对应该用于方法安全的AuthenticationManager的引用。

  • jsr250-annotations 指定是否使用 JSR-250 风格的属性(例如“RolesAllowed”)。这需要类路径上的 javax.annotation.security 类。将其设置为 true 还会向AccessDecisionManager添加一个Jsr250Voter,因此如果您正在使用自定义实现并希望使用这些注解,则需要确保这样做。

  • metadata-source-ref 可以提供一个外部MethodSecurityMetadataSource实例,它将优先于其他来源(例如默认注解)。

  • mode 此属性可以设置为 "aspectj",指定使用 AspectJ 而不是默认的 Spring AOP。安全方法必须与spring-security-aspects模块中的AnnotationSecurityAspect一起编织。

需要注意的是,AspectJ 遵循 Java 的规则,即接口上的注解不会被继承。这意味着在接口上定义安全注解的方法不会被保护。使用 AspectJ 时,必须在类上放置安全注解。

  • order 允许为方法安全拦截器设置 advice 的 "order"。

  • pre-post-annotations 指定是否为此应用程序上下文启用 Spring Security 的预调用和后调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为 "disabled"。

  • proxy-target-class 如果为 true,则将使用基于类的代理而不是基于接口的代理。

  • run-as-manager-ref 对可选RunAsManager实现的引用,配置的MethodSecurityInterceptor将使用它。

  • secured-annotations 指定是否为此应用程序上下文启用 Spring Security 的 @Secured 注解。默认为 "disabled"。

<global-method-security> 的子元素

<after-invocation-provider>

此元素可用于装饰AfterInvocationProvider,以便由<global-method-security>命名空间维护的安全拦截器使用。您可以在global-method-security元素中定义零个或多个这些元素,每个元素都有一个ref属性,指向应用程序上下文中的AfterInvocationProvider bean 实例。

<after-invocation-provider> 的父元素

<after-invocation-provider> 属性

  • ref 定义对实现AfterInvocationProvider的 Spring bean 的引用。

<pre-post-annotation-handling>

允许完全替换处理 Spring Security 的预调用和后调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)的默认基于表达式的机制。仅当启用这些注解时才适用。

<pre-post-annotation-handling> 的父元素

<pre-post-annotation-handling> 的子元素

<invocation-attribute-factory>

定义用于从带注解的方法生成预调用和后调用元数据的 PrePostInvocationAttributeFactory 实例。

<invocation-attribute-factory> 的父元素

<invocation-attribute-factory> 属性

  • ref 定义对 Spring bean ID 的引用。

<post-invocation-advice>

使用 ref 作为<pre-post-annotation-handling>元素的PostInvocationAuthorizationAdvice来自定义PostInvocationAdviceProvider

<post-invocation-advice> 的父元素

<post-invocation-advice> 属性

  • ref 定义对 Spring bean ID 的引用。

<pre-invocation-advice>

使用 ref 作为<pre-post-annotation-handling>元素的PreInvocationAuthorizationAdviceVoter来自定义PreInvocationAuthorizationAdviceVoter

<pre-invocation-advice> 的父元素

<pre-invocation-advice> 属性

  • ref 定义对 Spring bean ID 的引用。

使用<protect-pointcut>保护方法

无需使用@Secured注解在单个方法或类级别定义安全属性,您可以使用<protect-pointcut>元素在服务层的整个方法和接口集上定义横切安全约束。您可以在命名空间介绍中找到示例。

<protect-pointcut> 的父元素

<protect-pointcut> 属性

  • access 应用于与切点匹配的所有方法的访问配置属性列表,例如 "ROLE_A,ROLE_B"

  • expression 一个 AspectJ 表达式,包括execution关键字。例如,execution(int com.foo.TargetObject.countLength(String))

<intercept-methods>

可在 bean 定义内使用,以便向 bean 添加安全拦截器并为 bean 的方法设置访问配置属性。

<intercept-methods> 属性

  • use-authorization-manager 使用 AuthorizationManager API 而不是 AccessDecisionManager(默认为 true)

  • authorization-manager-ref 可选的 AuthorizationManager bean ID,用于替代默认值(优先于 use-authorization-manager)

  • access-decision-manager-ref 可选的 AccessDecisionManager bean ID,由创建的方法安全拦截器使用。

<intercept-methods> 的子元素

<method-security-metadata-source>

创建 MethodSecurityMetadataSource 实例

<method-security-metadata-source> 属性

  • id bean 标识符,用于在上下文的其他位置引用 bean。

  • use-expressions 启用在<intercept-url>元素的“access”属性中使用表达式,而不是传统的配置属性列表。默认为“false”。如果启用,则每个属性应包含单个布尔表达式。如果表达式计算结果为“true”,则授予访问权限。

<method-security-metadata-source> 的子元素

<protect>

定义受保护的方法和应用于它的访问控制配置属性。我们强烈建议您不要将“protect”声明与“global-method-security”提供的任何服务混合使用。

<protect> 的父元素

<protect> 属性

  • access 应用于方法的访问配置属性列表,例如 "ROLE_A,ROLE_B"。

  • method 方法名称