如何修复@PreAuthorize中的SpEL表达式?
@PreAuthorize 是 Spring Security 中的一个注解,用于在方法调用前进行权限验证。SpEL(Spring Expression Language)表达式用于定义权限验证的逻辑。如果 SpEL 表达式出现错误,可能会导致权限验证失败。
基础概念
- @PreAuthorize: 这是一个 Spring Security 注解,用于在方法执行前进行权限检查。
- SpEL: Spring Expression Language,一种强大的表达式语言,用于在运行时查询和操作对象图。
可能遇到的问题及原因
- 语法错误: SpEL 表达式可能包含语法错误,如拼写错误、缺少括号等。
- 上下文问题: 表达式中引用的变量或方法可能在当前上下文中不存在。
- 权限配置错误: 权限配置可能与实际需求不符,导致验证逻辑错误。
解决方法
1. 检查语法错误
确保 SpEL 表达式的语法正确。例如:
@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long userId) {
// 删除用户的逻辑
}如果表达式有误,如:
@PreAuthorize("hasRole('ADMIN'")缺少闭合括号,会导致解析错误。
2. 验证上下文变量
确保表达式中引用的变量或方法在当前上下文中是可用的。例如:
@PreAuthorize("#userId == authentication.principal.userId")
public void updateUser(Long userId) {
// 更新用户的逻辑
}这里 #userId 是方法参数,authentication.principal.userId 是当前认证用户的 ID。确保这些值都是有效的。
3. 调试和日志
启用 Spring Security 的调试日志,可以帮助你更好地理解表达式的执行情况。在 application.properties 中添加:
logging.level.org.springframework.security=DEBUG4. 单元测试
编写单元测试来验证 @PreAuthorize 注解的行为是否符合预期。例如:
@SpringBootTest
public class SecurityTests {
@Autowired
private ApplicationContext context;
@Test
public void testPreAuthorize() {
MyService myService = context.getBean(MyService.class);
SecurityContextHolder.getContext().setAuthentication(new TestingAuthenticationToken("user", "password", "ROLE_USER"));
assertThrows(AccessDeniedException.class, () -> myService.deleteUser(1L));
}
}示例代码
假设有一个服务类 UserService,其中有一个方法需要管理员权限:
@Service
public class UserService {
@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long userId) {
// 删除用户的逻辑
}
}确保 SecurityConfig 中配置了相应的角色和权限:
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.anyRequest().authenticated()
.and().httpBasic();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.inMemoryAuthentication()
.withUser("admin").password("{noop}password").roles("ADMIN");
}
}通过以上步骤,可以有效修复 @PreAuthorize 中的 SpEL 表达式问题。
相关·内容
1回答
请不要标记为重复,因为提供的解决方案包含安全问题,不要涵盖所有的CRUD-情况!我知道在执行操作之前必须获取对象,因为这是获取userId的唯一方法。: ResponseEntity.notFound().build()保护该对象的最佳实践方法是什么?我不想有多重重复的所有权还请建议在哪里添加支票(财务主任,服务,. ?)更新-解决方案的一部分
我不知道只通过传递ID就可以直接获取方法头中的对象。(接受一个),您应该能够轻松地实现基于所有权的安全性!
浏览 0提问于2020-05-28得票数 0
回答已采纳
当我使用Spring Security时,我发现了@PreAuthorize("hasAuthority('authority_name')") Spring Security如何检查@PreAuthorize以及如何调用hasAuthority()方法?
浏览 17提问于2021-08-30得票数 1
回答已采纳
在我的项目中,我通过JWT使用身份验证/授权。./2"@GetMapping("/{userId}")
ResponseEntity<String> get(@PathVariable final String userId); 我也尝试过使用@PreAuthorize("principal.username
浏览 114提问于2019-02-02得票数 0
我想在Security中使用@PreAuthorize和SpEL,就像上的例子一样,但是在SpringSecurity4.1.4中使用它时,这并不适用于我。下面是我的示例代码:package com.service.spel;
@ComponentString scope = "#oauth2.hasScope('resource.Update')
浏览 3提问于2017-03-08得票数 4
回答已采纳
2回答
我读过这个堆叠溢出帖子,但是,我仍然不清楚两者在安全性方面有什么巨大的区别?与“安全”相比,在什么情况下我们应该使用“预授权”?
浏览 3提问于2015-02-21得票数 4
回答已采纳
我注意到许多spring引导框架解决方案都在注释中使用spEL。Security获得了类似@PreAuthorize之类的注释,其值为"hasPermission(#contact,'admin')“。Spring抽象具有@Cacheable,许多字段都需要SpEL表达式,例如:
condition="#customer.name=='Tom'unless="#result.length()<64"keySpEL
浏览 7提问于2022-11-30得票数 0
我试图使用( SpEL )将属性从application.yml文件传递到SpEL方法调用。@PreAuthorize("hasAuthority('APP_USER')")@PreAuthorize("hasAuth
浏览 4提问于2017-12-12得票数 0
回答已采纳
我有一个基本的SpringBoot应用程序。使用Spring Initializer、嵌入式Tomcat、Thymeleaf模板引擎,并打包为可执行的JAR文件。我想要保护一个控制器:@RequestMapping("/company")@PreAuthorize("hasRole('ADMIN')")pub
浏览 1提问于2017-05-14得票数 25
回答已采纳
目前,我们有一个@PreAuthorize表达式之王:
@PreAuthorize("hasAnyAuthority('SCOPE_all.adm', 'SCOPE_qdcac.edi', 'SCOPE_qdcac.pet*这样的事..。
浏览 9提问于2022-11-30得票数 0
回答已采纳
我想使用SpEL来处理方法级别的安全性。我遇到一个问题,传递给该方法的数据不足以确定用户是否具有访问权限。RequestMapping(value = "/{id}", method = RequestMethod.DELETE)@PreAuthorizeid)") service.d
浏览 23提问于2019-07-09得票数 0
回答已采纳
1回答
使用SpringSecurity5.2.X(最新的当前版本),我需要防止对所有方法( SOAP服务中的一个除外)的第三方角色的访问。换句话说,我需要这个特定的角色才能在服务中的所有可用对象中只访问一种特定的方法。
通常,通常的方法级安全化由带有@Secure("MY_ROLE")的注释组成。这使得该方法只能用于该角色。是否有可能告诉做相反的事情。也就是说,以特定
浏览 2提问于2019-10-25得票数 1
回答已采纳
我是春季保安的新手。在分析以下代码更改时,我无法理解为什么使用"#post“而不是"post”?为什么"post“这个词以"#”作为前缀?post是一个对象。@PreAuthorize("hasPermission(#post, 'MANAGER') or hasRole('ROLE_MODERATOR')")
+ @PreAuthorize("hasPermissionhasRole('ROLE_MODERATOR&
浏览 1提问于2015-06-23得票数 0
回答已采纳
1回答
fIn我的应用程序我正在使用Security并定义了下一个类。public abstract class AbstractService {
.....}
@PreAuthorizeSpelAuthorityExpressions.SOME_KIND_OF_ACCESS_X)我需要来自子类的@PreAuthorize注释应用到超类方法(例
浏览 4提问于2014-08-19得票数 2
回答已采纳
我正在使用带有@PreAuthorize的自定义访问检查程序:@RequestMapping("/users") @RequestMapping(method = RequestMethod.GET)
User
浏览 2提问于2017-06-15得票数 4
回答已采纳
Java - Spring Annotation param from property value }@Secured({"USER_ABC","ADMIN_123"})}
任何预先欣赏的解决方案
浏览 2提问于2015-01-07得票数 0
我的Spring控制器中有以下端点:public class ToolsController {
这里允许的角色是一个标准注释,它使用用户数据进行检查,并防止在没有权限的情况下调用方法。现在,我还想通过一个由参数databaseId标识的数据库对象中包含
浏览 17提问于2022-10-20得票数 0
回答已采纳
我试图根据用户在组中的角色,找到授权用户某些操作的最佳方法。。在UserDetails中是否有比加载组角色更好的实现授权的方法: authorities.add
浏览 2提问于2020-06-20得票数 3
回答已采纳
1回答
我试图在spel表达式中访问spring应用程序属性的值,但在我看来这是不可能的。我试图在oauth2作用域之前添加一个前缀,所以当PreAuthorize发生时,整个作用域名称将是prefix+“某样东西”,以便将来可以动态地更改它:规范文档中的
浏览 0提问于2018-10-12得票数 1
回答已采纳
我尝试过以各种方式复制@PreAuthorize行为,所以用方法调用上下文来描述表达式:-I从在我的WebSecurityConfigurerAdapter扩展类中配置httpSecurity开始使用用spel编写的访问字符串,结果发现上下文在过滤器调用中,所以我对请求体没有访问权(我需要它);-extending Confi
浏览 14提问于2022-03-09得票数 0
/><intercept-url pattern="/**" access"hasPermission("addSomething1") />
我还没有在allowed下面列出的安全表达式中看到
浏览 0提问于2013-06-28得票数 0
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
腾讯会议
云直播
对象存储活动推荐
腾讯云开发者
