如何限制某些用户使用PUT with Spring Data Rest编辑对象的所有属性?
要限制某些用户使用PUT方法编辑对象的所有属性,可以通过以下步骤实现:
- 首先,需要在Spring Data Rest中配置安全性。可以使用Spring Security来实现身份验证和授权。通过配置适当的角色和权限,可以限制用户对资源的访问和操作。
- 创建一个自定义的权限验证类,继承自
org.springframework.security.access.PermissionEvaluator接口。在该类中,实现hasPermission方法,用于判断用户是否有权限进行PUT操作。 - 在自定义权限验证类中,通过注入
org.springframework.security.core.Authentication对象,获取当前用户的信息。可以使用该信息来判断用户是否有权限进行PUT操作。 - 在Spring Data Rest的实体类上,使用
@PreAuthorize注解来限制用户对资源的访问和操作。在该注解中,使用SpEL表达式调用自定义权限验证类中的hasPermission方法,判断用户是否有权限进行PUT操作。 - 在SpEL表达式中,可以使用
#entity关键字引用当前要编辑的对象。通过判断#entity的属性,可以限制用户对对象属性的编辑。
以下是一个示例代码:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends GlobalMethodSecurityConfiguration {
@Autowired
private CustomPermissionEvaluator permissionEvaluator;
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
DefaultMethodSecurityExpressionHandler expressionHandler = new DefaultMethodSecurityExpressionHandler();
expressionHandler.setPermissionEvaluator(permissionEvaluator);
return expressionHandler;
}
}
@Component
public class CustomPermissionEvaluator implements PermissionEvaluator {
@Override
public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {
// 根据authentication获取当前用户信息,判断是否有权限进行PUT操作
// 可以根据targetDomainObject判断要编辑的对象属性
// 返回true表示有权限,返回false表示无权限
}
@Override
public boolean hasPermission(Authentication authentication, Serializable targetId, String targetType, Object permission) {
throw new UnsupportedOperationException();
}
}
@Entity
@PreAuthorize("hasPermission(#entity, 'PUT')")
public class YourEntity {
// 实体类定义
}通过以上步骤,可以限制某些用户使用PUT方法编辑对象的所有属性。在自定义权限验证类中,可以根据具体业务需求和用户角色,灵活地控制用户的访问权限。
相关·内容
MethodSecurityConfig.java
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled=true)
@ComponentScan(basePackageClasses={EventWritePermissionEvaluator.class})
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration{
private EventWritePermissionEvaluator eventWritePermiss
浏览 1提问于2015-10-05得票数 0
请参考我的@PreAuthorize("hasPermission(#user,'write')")不工作的真正问题
基本上,我正在尝试检查一个普通用户
我的controllerClass
package com.***.appconfig.controller;
import com.***.appconfig.dao.UserDaoImplementation;
import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.stereo
浏览 1提问于2017-02-02得票数 1
3回答
我正在尝试将Spring Security集成到我的spring web应用程序中。基本上我需要隐藏一些基于用户权限的菜单。这就是我所做的。
我在类路径中添加了下面的JARS。
spring-security-acl-4.0.2.RELEASE.jar
spring-security-config-4.0.2.RELEASE.jar
spring-security-core-4.0.2.RELEASE.jar
spring-security-taglibs-4.0.1.RELEASE.jar
spring-security-web-4.0.2.RELEASE.jar
以下是web.xml中的条
浏览 8提问于2017-08-25得票数 9
首先,我对此进行了大量搜索,虽然似乎存在一个修复方法,但我无法成功地在PermissionEvaluator中引用注入的PermissionEvaluator。
在那一期的评论中,Rob Winch提供了一个围绕建议的工作
要解决此问题,可以使用permissionEvaluator使用LazyInitTargetSource代理
尽管如此,我在实现基于注释的发布的XML的JavaConfig版本时遇到了困难。我正在使用SpringBoot1.0.0.BUILD-快照和Spring -启动程序-安全性.
我有一个类来配置方法安全性,如下所示:
@Configuration
@Enab
浏览 14提问于2014-02-18得票数 7
回答已采纳
我的自定义Spring Security PermissionEvaluator有一个问题。因此,CustomPermissionEvaluator需要该服务来完成其工作。
@Service
public class MyService {
// methods....
}
这是求值器本身。
public class CustomPermissionEvaluator implements PermissionEvaluator {
private MyService service;
public CustromPermissionEvaluator( MyService
浏览 1提问于2015-01-26得票数 3
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Autowired
private ApplicationContext context;
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
Def
浏览 2提问于2019-12-01得票数 3
回答已采纳
我有一个如下所示的自定义权限类,我使用它来处理方法安全性,它工作得很好,但是我需要根据这个类中的一些业务逻辑添加自定义响应头,如果有人能在这个领域中发出一些提示,这将有很大的帮助。
on控制器@PreAuthorize("hasPermission('APP','GENERIC','VIEW')")
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalM
浏览 2提问于2019-10-12得票数 0
我正在为我的Spring安全配置而挣扎,到目前为止,我还无法使它工作。需要你的帮助。
这是我的配置:
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
DefaultM
浏览 0提问于2018-08-30得票数 0
回答已采纳
我正在尝试使用Java Config实现方法安全性,但我得到了一个错误:-
org.springframework.expression.spel.SpelEvaluationException: EL1057E:(pos 1): No bean resolver registered in the context to resolve access to bean 'appPermissionEvaluator'
方法是:
@PreAuthorize("@appPermissionEvaluator.hasSystemPermission()")
public
浏览 0提问于2015-03-29得票数 22
回答已采纳
1回答
我正尝试在Spring Boot中测试我的服务方法上的PreAuthorize注释。我设法让它对SPeL表达式求值,但是在引用自定义bean时失败。 我正在测试的服务方法: @PreAuthorize("hasPermission(#eventId.id(), @eventTypePermission.target, @eventTypePermission.write())")
public EventTypeId retrieveEventTypeIdForEventId(EventId eventId) {
return null;
} 测试代码: @C
浏览 85提问于2020-06-18得票数 0
回答已采纳
出于某种奇怪的原因,我的带有hasPermission表达式的@PreAuthorize注释是从我的一个存储库触发的,但在另一个似乎几乎相同的存储库中却没有触发。
首先,为了解决这个问题,我用prePostEnabled = true启用了GlobalMethodSecurity。我还编写了一个自定义的PermissionEvaluator。
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
imp
浏览 11提问于2018-02-19得票数 2
回答已采纳
我正在尝试实现对用户在控制器中的角色的检查,所以当用户调用特定的web adress时,他可以访问该页面(或不访问)。
所以我在控制器的一个方法中添加了@PreAuthorize(“hasPermission.”),并创建了我的自定义* PermissionEvaluator*。它接受两个字符串作为参数(实体名称-字符串,权限名称-字符串),稍后我将从用户的角色对象中获取这些参数。出于测试目的,它总是返回true。
问题:,我在放置@ NullPointerException时总是会得到一个NullPointerException。你能解释我做错了什么吗?
控制器
@RequestMappin
浏览 0提问于2020-03-25得票数 2
回答已采纳
我正在为我的Spring安全配置而挣扎,到目前为止,我还无法使它工作。我不知道为什么我的自定义PermissionEvaluator没有被调用,我使用hasPermission表达式的@PreAuthorize注释被忽略了。
我正在使用Spring4.2.4和SpringSecurity4.1.0
她是我的密码:
网络安全配置
@Configuration
@EnableWebSecurity
public class MyWebSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected v
浏览 4提问于2016-06-10得票数 7
2回答
我想将基于方法的安全性添加到Spring项目中。
我所需要的似乎是添加PermissionEvaluator和MethodSecurityExpressionHandler bean,用@EnableGlobalMethodSecurity(prePostEnabled = true)注释我的WebSecurityConfigurerAdapter,用@PreAuthorize("isAuthenticated() and hasPermission(#param, 'somePermissionName')")注释方法。
但是在添加了一个PermissionE
浏览 5提问于2014-05-13得票数 19
回答已采纳
2回答
我想创建一个自定义权限计算器,以便使用自定义方法对REST终结点进行@PreAuthorize。我将Spring Boot 1.5.3与web和安全启动器一起使用。
我的另一个用例是检查登录的用户是否有权查看指定的id。
在调用REST端点时,我得到以下错误:
org.springframework.expression.spel.SpelEvaluationException: EL1004E: Method call: Method hasPermission(null) cannot be found on org.springframework.security.access.expr
浏览 1提问于2017-05-27得票数 3
回答已采纳
我使用基于表达式的SpringSecurity3.x保护我的应用程序。我有以下服务接口:
@PreAuthorize("hasRole('ROLE_ADMIN') or hasPermission(#employeeId, 'employee', 'isOwner')")
EmployeeData getById(Integer employeeId);
@PreAuthorize("hasRole('ROLE_ADMIN') or hasPermission(#employeeId, 'empl
浏览 2提问于2012-09-07得票数 1
回答已采纳
2回答
我有一个海关权限评估程序,设置如下所示。
public class MyPermissionEvaluator implements PermissionEvaluator {
@Override
public boolean hasPermission(Authentication authentication, Object target, Object permission) {
//do stuff
}
在我的配置中
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true
浏览 2提问于2020-07-14得票数 1
在我最近的spring项目中,我发现了访问方法(MethodSecurity)的权限配置问题。我有一个SecurityConfig类:
@Autowired
private CustomAuthenticationProvider authenticationProvider;
public void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.authenticationProvider(authenticationProvider);
}
/*@Bean
@Overr
浏览 9提问于2014-04-17得票数 0
回答已采纳
在SpringBoot2.1.0中,不推荐EvaluationContextExtensionSupport,说直接实现EvaluationContextExtension
尽管它只被弃用,但它立即开始使用此堆栈跟踪进行此升级失败:
Caused by: org.springframework.beans.factory.support.BeanDefinitionOverrideException: Invalid bean definition with name 'methodSecurityInterceptor' defined in class path resou
浏览 0提问于2018-11-21得票数 9
回答已采纳
1回答
我希望在我的应用程序中使用@PreAuthorize注释来控制访问。
问题是,我有很多条件不是取决于请求参数,而是取决于数据库实体。
概述:
我有一个Route实体,它有User owner字段。只有当您是所有者时,才能删除Route。
我写了我的控制器方法:
@RequestMapping(value = "/route/remove/{id}", method = RequestMethod.GET)
@PreAuthorize("hasPermission(#id, 'RouteRemove')")
public String remo
浏览 3提问于2013-04-23得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM活动推荐
腾讯云开发者
