为什么@PreAuthorize和hasPermission (在自定义PermissionEvaluator中)在一个存储库中触发,而在另一个存储库中不触发?
@PreAuthorize和hasPermission是Spring Security框架中用于进行权限控制的注解和接口。
@PreAuthorize注解用于在方法执行前进行权限验证,它可以放在Controller的方法上,也可以放在Service层的方法上。它的作用是根据SpEL表达式来判断当前用户是否具有执行该方法的权限。如果不具备权限,则会抛出AccessDeniedException异常。
hasPermission是Spring Security提供的一个接口,用于自定义权限验证逻辑。通过实现该接口,可以根据业务需求自定义权限验证规则。在自定义PermissionEvaluator中,可以使用hasPermission方法来判断当前用户是否具有某个特定权限。
在一个存储库中触发@PreAuthorize和hasPermission,而在另一个存储库中不触发,可能是由于以下原因:
- 存储库的权限配置不同:@PreAuthorize和hasPermission的触发与权限配置相关。可能在一个存储库中已经配置了相应的权限验证规则,而在另一个存储库中没有进行相应的配置,导致不触发权限验证。
- 存储库的访问控制不同:@PreAuthorize和hasPermission的触发与访问控制相关。可能在一个存储库中需要对某些资源进行访问控制,而在另一个存储库中不需要进行相应的访问控制,导致不触发权限验证。
- 存储库的业务逻辑不同:@PreAuthorize和hasPermission的触发与业务逻辑相关。可能在一个存储库中的方法需要进行权限验证,而在另一个存储库中的方法不需要进行权限验证,导致不触发权限验证。
需要根据具体情况进行排查和分析,查看存储库的权限配置、访问控制和业务逻辑,以确定为什么@PreAuthorize和hasPermission在一个存储库中触发,而在另一个存储库中不触发。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云主页:https://cloud.tencent.com/
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/tencentdb
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云区块链(Tencent Blockchain):https://cloud.tencent.com/product/tencentblockchain
相关·内容
我希望它能这样工作:下面的代码只有在通过身份验证的用户id == id在@PathVariable中给出时才能执行。@PreAuthorize("hasAnyAuthority('ADMIN', 'USER')")public EntityModel<Order> getO
浏览 3提问于2020-06-05得票数 3
回答已采纳
出于某种奇怪的原因,我的带有hasPermission表达式的@PreAuthorize注释是从我的一个存储库触发的,但在另一个似乎几乎相同的存储库中却没有触发。我还编写了一个自定义的PermissionEvaluator。); }对于下面的项目存储</em
浏览 11提问于2018-02-19得票数 2
回答已采纳
假设我们有一个带注释的rest控制器方法:在Spring中,我们将实现一个如果您无论如何都要在此方法中调用一个反应性服务,那么您将需要在某个时候在某些Mono上调用Mono,从而遇到麻烦,因为您是从一个反应性管道中<
浏览 2提问于2018-05-20得票数 6
我知道Security有一个抽象类SecurityExpressionRoot。Spring还提供了要在方法级别上使用的@PreAuthorize注释,我们在该注释中传递一个值,如下注释@interfaceElementType.METHOD, ElementType.TYPE})@Inherited
浏览 2提问于2021-08-11得票数 5
回答已采纳
在这个存储库的第二种方法中,SpEL将实体参数计算为null引用,这是有问题的。第一种方法工作得很好,并且id被正确地评估到应该是长的。("hasPermission(#id, null, 'owner')") @PreAuthorize("hasPermission(#entity, 'owner')")
void
浏览 7提问于2016-12-27得票数 2
回答已采纳
在我的项目中,来自我的控制器的方法具有这样的结构:@RequestMapping(value="privado") @PreAuthorize("hasPermission(#usuario, 'admin_main')")方法在这个CustomPermissionEvaluator类中
浏览 0提问于2014-04-18得票数 0
回答已采纳
1回答
例如,在我们的应用程序中,用户具有角色并属于部门。大多数情况下,它们可以根据它们的角色对属于其部门的对象执行一些操作。在所有情况下,部门+角色都足以决定是否应授予用户对特定对象的特定操作。用户、角色和部门由外部应用程序管理,当用户连接时,我们从该应用程序中检索它们(我们使用的是REST服务,但也可以是LDAP服务器)。我们希望依赖@PreAuthorize('hasPermission(…)')来实现域对象安全。因此,可以看到2种解决办法:
实现执行整个检查的<e
浏览 0提问于2014-10-24得票数 23
然而,我发现我的代码中充斥着重复的权限验证,它们占据了我大部分的逻辑。基本的插入和检索非常简单。
GET/HADevice /{id}/deviceMetrics--我从主体检索
浏览 1提问于2016-01-06得票数 1
但是我能找到的每一个教程都是关于一个简单的的。. */ }// StoreService.java
public ItemDTO deleteItem(String sessionId, Long storeId这在Spring安全中是可能的吗?所以我对如何正确地做这件事感到很困惑。有什么想法吗?
浏览 2提问于2015-09-18得票数 5
回答已采纳
3回答
在一个JPA应用程序中,我有一个场景,其中应用程序是
我有一个帐户实体和一个多到多的表,其中列出了每个用户在每个帐户上拥有的授权--以实现上述场景,该应用程序目前只是内部连接两个表现在,我计划添加一个显式授权层(基于apache / spring安全/其他),以将与授权相关的逻辑与代码的其余部分隔离开来,但是.数据库中大约有10k个帐户,所有的“平均”用户都
浏览 4提问于2012-05-28得票数 4
回答已采纳
我们有两个repos /project,一个用来存储源代码,另一个用来构建和存储我们将要部署的包。我们使用runner将前者中的更改推送到后者中。这用于触发后一个repo的管道。最近,手动向后一个存储库推送了一个更改,从那时起,来自运行器的推送不再触发目标存储库中的管道(手动推送仍然触发</e
浏览 2提问于2017-09-18得票数 0
2回答
我想使用两个Git存储库构建一个项目。其中一个包含源代码,另一个包含构建和部署脚本。在Jenkins文件中,每当存储库中有新的提交时,我就使用pollScm来触发<
浏览 1提问于2018-11-22得票数 5
回答已采纳
我有一个来自Spring数据的的CRUD存储库。我试图添加自定义权限评估,但在我的PermissionEvalutor实现中,targetDomainObject始终是null。<Item, Long> { <S extends Item> S save(S entity);
@PreA
浏览 4提问于2017-05-11得票数 0
回答已采纳
) )我有CustomPermissionEvaluator类(实现PermissionEvaluator)。它对应的bean在另一个与servlet相关的.xml文件中定义。下面是我的应用程序安全部分的代码:
<?xml version="1.0" encoding="UTF-8"?在sample用户的数据库中,我在user_permis
浏览 1提问于2013-12-01得票数 0
我正在开发一个Java EE web应用程序,其中使用了Spring MVC和Spring安全性。到目前为止,我使用自定义的userService (从我的数据库中检索信息)成功地实现了常见的安全特性,但我现在面临着一个新的安全问题,我真的不知道解决它的最好方法是什么……
这是我需要做的:在我的应用程序中通过身份验证的用户被允许在他们的项目中导航但是,如果聪明的用户直接编辑URL以使用另一个id打开项目,则不会对项目id和</
浏览 2提问于2012-11-20得票数 3
回答已采纳
我有一个存储过程,它可以删除和/或将元组插入数据库表中。此表具有后插入或删除或更新触发器。基本上,我希望检索由于存储过程所引起的更改而在此触发器中花费了多少时间。我试着用解释分析来解释这一点:但是,我得到的结果不包含有关触发器的信息: {},
&
浏览 0提问于2017-05-03得票数 1
我有一个可以正常工作的springboot应用程序。在启动时,它执行一个sql脚本在H2数据库中播种一些测试数据。我刚刚使用了它,到目前为止,它工作得很好。data.sql database-platform: org.hibernate.dialect.H2Dialect 当我更改应用程序时,实现如下代码:Spring Security hasPermissionfor Collection 不执行sql脚本。会触发</
浏览 16提问于2021-04-01得票数 0
,我找不到答案:<sec:authorize url="stuff/B">
但是,如果我想在控制器(java类)中检查相同的东西
浏览 7提问于2017-07-24得票数 12
回答已采纳
我正在开发一个Server数据库。我想知道这是如何工作的,但我没有在“存储过程”或“函数”中找到任何相应的条目,而且似乎没有任何“数据库触发器”。此外,数据库的“规则”部分似乎是空的。数据库
浏览 0提问于2022-03-17得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
