Spring Data 集成

Spring Security 提供了 Spring Data 集成,允许在查询中引用当前用户。将用户包含在查询中不仅有用,而且对于支持分页结果是必要的,因为事后过滤结果是不可扩展的。

Spring Data & Spring Security 配置

要使用此支持,请添加 org.springframework.security:spring-security-data 依赖项并提供一个 SecurityEvaluationContextExtension 类型的 bean。

  • Java

  • Kotlin

@Bean
public SecurityEvaluationContextExtension securityEvaluationContextExtension() {
	return new SecurityEvaluationContextExtension();
}
@Bean
fun securityEvaluationContextExtension(): SecurityEvaluationContextExtension {
	return SecurityEvaluationContextExtension()
}

在 XML 配置中,这看起来像这样

<bean class="org.springframework.security.data.repository.query.SecurityEvaluationContextExtension"/>

@Query 中的安全表达式

现在你可以在查询中使用 Spring Security 了

  • Java

  • Kotlin

@Repository
public interface MessageRepository extends PagingAndSortingRepository<Message,Long> {
	@Query("select m from Message m where m.to.id = ?#{ principal?.id }")
	Page<Message> findInbox(Pageable pageable);
}
@Repository
interface MessageRepository : PagingAndSortingRepository<Message,Long> {
	@Query("select m from Message m where m.to.id = ?#{ principal?.id }")
	fun findInbox(pageable: Pageable): Page<Message>
}

这会检查 Authentication.getPrincipal().getId() 是否等于 Message 的接收者。请注意,此示例假设你已将 principal 自定义为一个具有 id 属性的对象。通过暴露 SecurityEvaluationContextExtension bean,所有 常见安全表达式 都可以在查询中使用。