方法安全

<method-security>

此元素是将方法安全支持添加到 Spring Security bean 的主要方式。可以通过使用注解(在接口或类级别定义)或定义一组切入点来保护方法。

<method-security> 属性

  • pre-post-enabled 启用此应用上下文的 Spring Security 前置和后置调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为 "true"。

  • secured-enabled 启用此应用上下文的 Spring Security @Secured 注解。默认为 "false"。

  • jsr250-enabled 启用此应用上下文的 JSR-250 授权注解(@RolesAllowed、@PermitAll、@DenyAll)。默认为 "false"。

  • mode 如果设置为 "aspectj",则使用 AspectJ 拦截方法调用。

  • proxy-target-class 如果为 true,将使用基于类的代理而不是基于接口的代理。默认为 "false"。

  • security-context-holder-strategy-ref 指定在检索 SecurityContext 时使用的 SecurityContextHolderStrategy。默认为 SecurityContextHolder.getContextHolderStrategy() 返回的值。

  • observation-registry-ref 用于 FilterChain 及相关组件的 ObservationRegistry 引用

<method-security> 的子元素

<global-method-security>

此元素是将方法安全支持添加到 Spring Security bean 的主要方式。可以通过使用注解(在接口或类级别定义)或使用 AspectJ 语法定义一组切入点作为子元素来保护方法。

<global-method-security> 属性

  • access-decision-manager-ref 方法安全使用与 Web 安全相同的 AccessDecisionManager 配置,但可以使用此属性覆盖。默认使用 AffirmativeBased 实现,包含 RoleVoter 和 AuthenticatedVoter。

  • authentication-manager-ref 方法安全应使用的 AuthenticationManager 引用。

  • jsr250-annotations 指定是否使用 JSR-250 风格的属性(例如 "RolesAllowed")。这需要在 classpath 中包含 javax.annotation.security 类。将其设置为 true 还会将 Jsr250Voter 添加到 AccessDecisionManager 中,因此如果使用自定义实现并希望使用这些注解,需要确保执行此操作。

  • metadata-source-ref 可以提供一个外部的 MethodSecurityMetadataSource 实例,它将优先于其他来源(例如默认注解)。

  • mode 此属性可以设置为 "aspectj" 以指定应使用 AspectJ 而不是默认的 Spring AOP。受保护的方法必须使用 spring-security-aspects 模块中的 AnnotationSecurityAspect 进行织入。

重要的是要注意,AspectJ 遵循 Java 的规则,即接口上的注解不会被继承。这意味着在接口上定义安全注解的方法将不会被保护。相反,在使用 AspectJ 时,必须将安全注解放在类上。

  • order 允许为方法安全拦截器设置通知的 "order"。

  • pre-post-annotations 指定是否应为此应用上下文启用 Spring Security 前置和后置调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)。默认为 "disabled"。

  • proxy-target-class 如果为 true,将使用基于类的代理而不是基于接口的代理。

  • run-as-manager-ref 配置的 MethodSecurityInterceptor 将使用的可选 RunAsManager 实现的引用

  • secured-annotations 指定是否应为此应用上下文启用 Spring Security 的 @Secured 注解。默认为 "disabled"。

<after-invocation-provider>

此元素可用于装饰由 <global-method-security> 命名空间维护的安全拦截器使用的 AfterInvocationProvider。可以在 global-method-security 元素中定义零个或多个此类元素,每个元素都有一个 ref 属性指向应用上下文中的 AfterInvocationProvider bean 实例。

<after-invocation-provider> 的父元素

<after-invocation-provider> 属性

  • ref 定义对实现 AfterInvocationProvider 的 Spring bean 的引用。

<pre-post-annotation-handling>

允许完全替换处理 Spring Security 前置和后置调用注解(@PreFilter、@PreAuthorize、@PostFilter、@PostAuthorize)的默认基于表达式的机制。仅在这些注解启用时适用。

<pre-post-annotation-handling> 的父元素

<pre-post-annotation-handling> 的子元素

<invocation-attribute-factory>

定义用于从带注解的方法生成前置和后置调用元数据的 PrePostInvocationAttributeFactory 实例。

<invocation-attribute-factory> 的父元素

<invocation-attribute-factory> 属性

  • ref 定义对 Spring bean ID 的引用。

<post-invocation-advice>

使用 ref 作为 <pre-post-annotation-handling> 元素的 PostInvocationAuthorizationAdvice 来自定义 PostInvocationAdviceProvider

<post-invocation-advice> 的父元素

<post-invocation-advice> 属性

  • ref 定义对 Spring bean ID 的引用。

<pre-invocation-advice>

使用 ref 作为 <pre-post-annotation-handling> 元素的 PreInvocationAuthorizationAdviceVoter 来自定义 PreInvocationAuthorizationAdviceVoter

<pre-invocation-advice> 的父元素

<pre-invocation-advice> 属性

  • ref 定义对 Spring bean ID 的引用。

使用以下方式保护方法

<protect-pointcut> 您可以使用 <protect-pointcut> 元素在服务层中为整个方法和接口集定义横切安全约束,而不是使用 @Secured 注解在单个方法或类上定义安全属性。您可以在 命名空间介绍 中找到示例。

<protect-pointcut> 的父元素

<protect-pointcut> 属性

  • access 应用于匹配切入点的所有方法的访问配置属性列表,例如 "ROLE_A,ROLE_B"

  • expression 一个 AspectJ 表达式,包括 execution 关键字。例如,execution(int com.foo.TargetObject.countLength(String))

<intercept-methods>

可在 bean 定义内部使用,为 bean 添加安全拦截器并为其方法设置访问配置属性

<intercept-methods> 属性

  • use-authorization-manager 使用 AuthorizationManager API 代替 AccessDecisionManager(默认为 true)

  • authorization-manager-ref 可选的 AuthorizationManager bean ID,用于代替默认值(覆盖 use-authorization-manager)

  • access-decision-manager-ref 创建的方法安全拦截器将使用的可选 AccessDecisionManager bean ID。

<intercept-methods> 的子元素

<method-security-metadata-source>

创建 MethodSecurityMetadataSource 实例

<method-security-metadata-source> 属性

  • id bean 标识符,用于在上下文中的其他地方引用该 bean。

  • use-expressions 启用在 <intercept-url> 元素的 'access' 属性中使用表达式,而不是传统的配置属性列表。默认为 'false'。如果启用,每个属性应包含一个布尔表达式。如果表达式评估为 'true',则授予访问权限。

<method-security-metadata-source> 的子元素

<protect>

定义受保护的方法以及适用于它的访问控制配置属性。强烈建议您不要将 "protect" 声明与 "global-method-security" 提供的任何服务混合使用。

<protect> 属性

  • access 应用于该方法的访问配置属性列表,例如 "ROLE_A,ROLE_B"。

  • method 方法名