我正在考虑为我的应用程序使用带有 EL(表达式语言)功能的 Spring Security 注释。例如:
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(Contact contact, Sid recipient, Permission permission);
我需要 EL 功能,因为我已经构建了自己的 ACL 实现。但是,要将此功能与“#contact”类型参数一起使用,Spring 文档中这样说:
您可以访问任何方法 按名称作为表达式的参数 变量,前提是您的代码有 调试信息编译进去。
这引出了两个问题:
感谢您对此的任何指导!
【问题讨论】:
标签: debugging spring-security acl
我想当你第一次解决这个问题时这不是一个选项,但现在你可以这样做
@PreAuthorize("hasPermission(#contact, 'admin')")
public void deletePermission(@P("contact") Contact contact, Sid recipient, Permission permission);
【讨论】:
我现在找不到参考,但您可能想知道 Java 8 将始终包含参数名称,即使我相信 Java 8 将始终包含参数名称,即使在调试模式下也是如此。
【讨论】:
作为一种解决方法,您可以使用自己的策略实现自定义ParameterNameDiscoverer。这是一个生成简单编号名称的示例(arg0 等):
public class SimpleParameterNameDiscoverer implements
ParameterNameDiscoverer {
public String[] getParameterNames(Method m) {
return getParameterNames(m.getParameterTypes().length);
}
public String[] getParameterNames(Constructor c) {
return getParameterNames(c.getParameterTypes().length);
}
protected String[] getParameterNames(int length) {
String[] names = new String[length];
for (int i = 0; i < length; i++)
names[i] = "arg" + i;
return names;
}
}
及配置:
<global-method-security ...>
<expression-handler ref = "methodSecurityExpressionHandler" />
</global-method-security>
<beans:bean id = "methodSecurityExpressionHandler"
class = "org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
<beans:property name = "parameterNameDiscoverer">
<beans:bean class = "foo.bar.SimpleParameterNameDiscoverer" />
</beans:property>
</beans:bean>
【讨论】: