2
(很抱歉,如果这是一个重复的,但问题是很对搜索引擎不友好。)如何在Spring EL评估春EL
我想知道如何评价春天EL里面EL(与所有的函数,变量,上下文等通过)。
具体来说,我想动态评估一个弹簧安全表达式(它只是EL加上一些函数和上下文),从硬编码的EL中的数据库实体加载到@PreAuthorize中。
即类似@PreAuthorize("eval(argument.securityExpr)")。
A
回答
2
您可以扩展Springs MethodSecurityExpressionRoot(并在您自己的MethodSecurityExpressionHandler中创建它)并添加一个eval方法,该方法除了一个String并让SpringExpressionParser评估String。应该工作...
编辑:
一些代码:
public class MySpringSecurityRoot extends MethodSecurityExpressionRoot {
private MyMethodSecurityExpressionHandler handler; // to be injected in the handler
public boolean eval(String expression) {
Expression expression = handler.getExpressionParser().parseExpression(expression);
return ExpressionUtils.evaluateAsBoolean(
handler.getExpressionParser().parseExpression(expression),
handler.createEvaluationContext(authentification, methodInvocation));
}
}
处理程序必须设置为默认的方法安全表达式处理程序:
<security:global-method-security pre-post-annotations="enabled">
<security:expression-handler ref="myHandler"/>
</security:global-method-security>
现在你的eval函数在每种方法中都可以访问安全表达式
但是:您必须是意识到描述安全规则的人员可以访问当前弹簧环境中的所有bean!可能是安全漏洞。
0
如果您使用简单的参数名称与@发现来评估权限,您可以在不启用调试模式的情况下实际执行任何操作。
@PreAuthorize("@mySecurityService.hasPermission(#arg0)")
public String getSpecial(final String special) {
return "authorized";
}
mySecurityService可以是任何豆/方法返回一个布尔值,与此连接好Arg1的
public class SimpleParameterNameDiscoverer implements ParameterNameDiscoverer {
public String[] getParameterNames(Method m) {
return getParameterNames(m.getParameterTypes().length);
}
public String[] getParameterNames(Constructor c) {
return getParameterNames(c.getParameterTypes().length);
}
protected String[] getParameterNames(int length) {
String[] names = new String[length];
for (int i = 0; i < length; i++)
names[i] = "arg" + i;
return names;
}
}
和背景:
<bean id="methodSecurityExpressionHandler"
class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
<property name="parameterNameDiscoverer">
<bean class="your.path.SimpleParameterNameDiscoverer"/>
</property>
相关问题
- 1. Nifi:PutSolrContentStream不评估EL
- 2. EL在JSP停止评估
- 3. EL表达未评估
- 4. 如何避免重复评估EL
- 5. 在JSP中未评估EL表达式
- 6. EL里面c:foreach没有评估
- 7. JSP:在SimpleTagSupport中评估EL表达式 - getExpressionEvaluator已弃用? (Spring MVC)
- 8. 动态评估el表达式
- 9. EL表达式不被评估
- 10. 春季EL变量列表?
- 11. 如何在调试JSP页面时评估JSTL EL表达式?
- 12. Spring EL&JSF
- 13. 春+瓷砖如何使用EL在tiles.xml
- 14. 如何评估servlet中的JSP EL表达式
- 15. 如何在EL内部嵌套EL?
- 16. Spring El表达式
- 17. 在JSPX文档中评估HTML属性的EL表达式
- 18. 评估请求属性中的EL表达式
- 19. 在字符串值中评估EL表达式
- 20. 在非呈现的JSF元素中的EL评估
- 21. 用Spring EL与应用程序上下文bean评估bean表达式
- 22. outputLink和graphicImage之间的EL上下文路径评估差异
- 23. EL表达未被评估<c:if>标记
- 24. JSF页面中的EL评估不是连续的
- 25. 首选方法来获得另一个bean:评估EL或@Inject
- 26. JSF页面上的EL表达式评估时间
- 27. 如何停止在非呈现的JSF组件中评估EL表达式?
- 28. 在EL
- 29. 评估为空字符串的EL表达式
- 30. 春天EL - 如果其他条件
我不知道如果我理解正确的答案,但它似乎关注如何获得参数,而不是如何评估存储在参数中的安全表达式。我已经有权访问该参数,但我不知道如何评估安全性表达式(即您的@ @ mySecurityService.hasPermission()位)。 –
只需使用@然后你想要的任何bean和方法... – NimChimpsky
事情是我依靠Spring来评估表达式。我的项目中没有办法做到这一点。 –