Spring Boot中的ACL安全性
我在通过Spring Boot" title="Spring Boot">Spring Boot应用程序中的Java配置设置ACL时遇到问题。我创建了一个小项目来重现这些问题。
我尝试了几种不同的方法。我遇到的第一个问题是EhCache,在我解决了这个问题之后(我以为是),我再也无法登录了,看来所有数据都消失了。
有4种具有不同配置的类:
ACLConfig1.classACLConfig2.class
ACLConfig3.class
ACLConfig4.class
除@PreAuthorize和@PostAuthorize之外,所有和注释均按预期工作hasPermission。
控制器拥有4个端点:一个端点用于用户,一个端点用于Admin,一个公共端点和最后一个使我头疼的端点
@PostAuthorize("hasPermission(returnObject,'administration')")
我很确定DB中的插入是正确的。此类是四堂之一,我尝试过的最后一堂:
@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class ACLConfig4 {
@Autowired
DataSource dataSource;
@Bean
public EhCacheBasedAclCache aclCache() {
return new EhCacheBasedAclCache(aclEhCacheFactoryBean().getObject(), permissionGrantingStrategy(), aclAuthorizationStrategy());
}
@Bean
public EhCacheFactoryBean aclEhCacheFactoryBean() {
EhCacheFactoryBean ehCacheFactoryBean = new EhCacheFactoryBean();
ehCacheFactoryBean.setCacheManager(aclCacheManager().getObject());
ehCacheFactoryBean.setCacheName("aclCache");
return ehCacheFactoryBean;
}
@Bean
public EhCacheManagerFactoryBean aclCacheManager() {
return new EhCacheManagerFactoryBean();
}
@Bean
public DefaultPermissionGrantingStrategy permissionGrantingStrategy() {
ConsoleAuditLogger consoleAuditLogger = new ConsoleAuditLogger();
return new DefaultPermissionGrantingStrategy(consoleAuditLogger);
}
@Bean
public AclAuthorizationStrategy aclAuthorizationStrategy() {
return new AclAuthorizationStrategyImpl(new SimpleGrantedAuthority("ROLE_ADMINISTRATOR"));
}
@Bean
public LookupStrategy lookupStrategy() {
return new BasicLookupStrategy(dataSource, aclCache(), aclAuthorizationStrategy(), new ConsoleAuditLogger());
}
@Bean
public JdbcMutableAclService aclService() {
JdbcMutableAclService service = new JdbcMutableAclService(dataSource, lookupStrategy(), aclCache());
return service;
}
@Bean
public DefaultMethodSecurityExpressionHandler defaultMethodSecurityExpressionHandler() {
return new DefaultMethodSecurityExpressionHandler();
}
@Bean
public MethodSecurityExpressionHandler createExpressionHandler() {
DefaultMethodSecurityExpressionHandler expressionHandler = defaultMethodSecurityExpressionHandler();
expressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService()));
expressionHandler.setPermissionCacheOptimizer(new AclPermissionCacheOptimizer(aclService()));
return expressionHandler;
}
}
我在这里想念什么?如果使用ACLConfig3.class或ACLConfig4.class,为什么没有数据。是否有任何示例说明如何在Spring
Boot中以编程方式配置它?
回答:
找不到数据的原因有点棘手。MethodSecurityExpressionHandler在配置中定义bean后,数据库表中就没有数据。这是因为您的data.sql文件未执行。
在解释为什么data.sql不执行之前,我首先要指出您没有按预期使用该文件。
data.sql在初始化hibernate状态后由spring-
boot执行,并且通常仅包含DML语句。您data.sql包含DDL(模式)语句和DML(数据)语句。这是不理想的,因为您的某些DDL语句与hibernate的hibernate.hbm2ddl.auto行为发生冲突(请注意,在使用嵌入式时,spring-
boot使用“ create-drop”
DataSource)。您应该将DDL语句放入,schema.sql并将DML语句放入data.sql。手动定义所有表时,您应该禁用hibernate.hbm2ddl.auto(添加spring.jpa.hibernate.ddl-
auto=none到applciation.properties)。
话虽如此,让我们看一下为什么data.sql不执行。
的执行data.sql是通过触发的,通过ApplicationEvent触发的BeanPostProcessor。这BeanPostProcessor(DataSourceInitializedPublisher)作为弹簧启动的hibernate/
JPA自动配置(见的一部分创建org.springframework.boot.autoconfigure.orm.jpa.HibernateJpaAutoConfiguration,
org.springframework.boot.autoconfigure.orm.jpa.DataSourceInitializedPublisher和org.springframework.boot.autoconfigure.jdbc.DataSourceInitializer)。
通常,DataSourceInitializedPublisher在创建(嵌入式)之前DataSource创建,并且一切都会按预期进行,但是通过定义自定义MethodSecurityExpressionHandler,常规bean的创建顺序会改变。按照配置@EnableGlobalMethodSecurity,您将自动导入GlobalMethodSecurityConfiguration。
与spring安全相关的bean是在早期创建的。由于您MethodSecurityExpressionHandler需要DataSourceACL内容,而与spring-
security相关的bean则需要您的custom
MethodSecurityExpressionHandler,因此DataSource它的创建要比平时更早;实际上,它创建得太早了,DataSourceInitializedPublisher还没有创建spring-
boot
。在DataSourceInitializedPublisher以后创建的,但因为它没有注意到的创建DataSource豆,它也不会触发的执行data.sql。
我猜想固定Bean的创建顺序就可以解决问题,但是由于我现在不怎么做(无需进一步实验),我提出了以下解决方案:手动定义您DataSource的数据并进行数据初始化。
@Configurationpublic class DataSourceConfig {
@Bean
public EmbeddedDatabase dataSource() {
return new EmbeddedDatabaseBuilder().setType(EmbeddedDatabaseType.H2)
//as your data.sql file contains both DDL & DML you might want to rename it (e.g. init.sql)
.addScript("classpath:/data.sql")
.build();
}
}
由于data.sql文件包含应用程序所需的所有DDL,因此可以将其禁用hibernate.hbm2ddl.auto。添加
spring.jpa.hibernate.ddl-auto=none到applciation.properties。
定义自己的DataSource弹簧靴时,DataSourceAutoConfiguration通常会退出,但是如果您想确保也可以将其排除(可选)。
@SpringBootConfiguration@EnableAutoConfiguration(exclude = DataSourceAutoConfiguration.class)
@ComponentScan
@EnableCaching
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
这应该可以解决您的“无数据”问题。但是,要使所有功能按预期工作,您需要再进行2次修改。
首先,您应该只定义一个MethodSecurityExpressionHandlerbean。当前,您正在定义2个MethodSecurityExpressionHandlerbean。Spring-
security不知道要使用哪个安全性,而是(静静地)使用它自己的内部安全性MethodSecurityExpressionHandler。请参阅org.springframework.security.config.annotation.method.configuration.GlobalMethodSecurityConfiguration#setMethodSecurityExpressionHandler。
@Configuration@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
public class MyACLConfig {
//...
@Bean
public MethodSecurityExpressionHandler createExpressionHandler() {
DefaultMethodSecurityExpressionHandler securityExpressionHandler = new DefaultMethodSecurityExpressionHandler();
securityExpressionHandler.setPermissionEvaluator(new AclPermissionEvaluator(aclService()));
securityExpressionHandler.setPermissionCacheOptimizer(new AclPermissionCacheOptimizer(aclService()));
return securityExpressionHandler;
}
}
您需要做的最后一件事是使getId()Car中的方法公开。
@Entitypublic class Car {
//...
public long getId() {
return id;
}
//...
}
ObjectIdentityRetrievalStrategy当在ACL权限评估期间尝试确定对象的身份时,该标准将查找公共方法“ getId()”。
(请注意,我的回答基于ACLConfig4。)
以上是 Spring Boot中的ACL安全性 的全部内容, 来源链接: utcz.com/qa/429965.html
