如何配置 Spring Security 以允许在 JSP 页面中使用 hasPermission？答案

【问题标题】：How configure the Spring Security to allow the use for hasPermission in the JSP page?如何配置 Spring Security 以允许在 JSP 页面中使用 hasPermission？
【发布时间】：2014-07-21 09:55:30
【问题描述】：

我正在尝试在我的 spring 项目的 jsp 页面中使用 hasPermission。我已经在我的控制器/服务类的方法中毫无问题地使用它。阅读文章：

http://docs.spring.io/spring-security/site/docs/4.0.0.M1/reference/htmlsingle/#the-accesscontrollist-tag

从官方文档中，我了解到为此我需要实现一个派生自 DefaultPermission 的类，该类将从自定义 AclService 类中加载。

我的问题是我找不到有关如何实现所有这些类的任何信息，甚至不知道这种方法是否是唯一的方法，或者我是否以正确的方式理解了该主题（官方文档非常简短关于这个主题，在互联网的其余部分我找不到更多信息）。

任何人都可以在这里指出正确的方向吗？可能会指出一些教程或代码示例。

更新

从 StackOverflow 阅读其他主题，我发现了这个建议：

This is what I have done. I created my own permission evaulator:

>     public class MyPermissionEvaluator implements PermissionEvaluator {
>     ...
>     }

Then I configured spring to use that evaulator via

>     <beans:bean id="expressionHandler"
>         class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
>           <beans:property name="permissionEvaluator" ref="permissionEvaluator"/>
>     </beans:bean>
>     
>     <beans:bean id="webExpressionHandler" 
>         class="com.bulb.learn.webapp.security.CustomWebSecurityExpressionHandler">
>         <beans:property name="permissionEvaluator" ref="permissionEvaluator"/>
>     </beans:bean>
>     
>     <beans:bean id="permissionEvaluator" class="my.domain.MyPermissionEvaluator" />

That way all expression handlers have access to my evaulator.

Then, in JSP (actually, I am using jspx), I can make tags like this:

>     <sec:authorize access="hasPermission(#childUnit, 'read')">
>          ...
>     </sec:authorize>

Hope that gets you heading in the right direction.

因为我已经有一个自定义 PermissionEvaluator，所以我尝试了这个方法。它部分工作，但现在，即使用户拥有权限，标签内的元素也不会显示。此外，尽管应用程序的构建和执行没有错误，但 Eclipse 会指示与此标记相关的错误（“令牌上的语法错误，错误的构造”）。

在控制台中，显示此错误：

un 03, 2014 7:48:40 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'cadastra_usuario' on object null
Jun 03, 2014 7:48:40 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'altera_usuario' on object null
Jun 03, 2014 7:48:40 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'remove_usuario' on object null
Jun 03, 2014 7:48:45 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'cadastra_permissao' on object null
Jun 03, 2014 7:48:45 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'altera_permissao' on object null
Jun 03, 2014 7:48:45 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'remove_permissao' on object null
Jun 03, 2014 7:48:57 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'cadastra_usuario' on object null
Jun 03, 2014 7:48:57 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'altera_usuario' on object null
Jun 03, 2014 7:48:57 PM org.springframework.security.access.expression.DenyAllPermissionEvaluator hasPermission
Advertência: Denying user klebermo permission 'remove_usuario' on object null

在互联网上，我发现一些文章建议我应该为 WebSecurityExpressionHandler 实现一个接口。

有人知道这里的正确步骤是什么吗？

更新 2

以前，我使用的是这个标签：

<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">

如果用户对给定对象具有值“1”或“2”所代表的权限，则会显示此信息。

</sec:accesscontrollist>

在控制台中没有显示错误，但仍然无法正常工作。我的问题是我需要实现哪个对象来归属标签的 domainObject？

【问题讨论】：

@see docs.spring.io/spring-security/site/docs/4.0.0.M1/reference/… JSP 标记库例如此内容仅对列表中具有“主管”权限的用户可见GrantedAuthority。
我的代码中已经有了这个标签，按照链接中的说明（我已经看过）。而且我不想使用hasRole，而是hasPermission：我的应用程序中有角色和权限（每个Role可以有多个Permissions，用户可以创建新的Roles来关联需要关联的Permissions）。
看看krams915.blogspot.com/2011/01/…和这个Q。stackoverflow.com/questions/7481869/…
我的项目中有这个类 PermissionEvaluator，我在我的方法（在控制器和服务类中）使用带有参数 hasPermission 的注释 @PreAuthorize。但我无法在我的 JSP 页面中使用。在这里查看我的配置：github.com/klebermo/lojavirtual/tree/master/src/main/java/com/…

标签： spring jsp spring-mvc spring-security acl

【解决方案1】：

您的CustomPermissionEvaluator 未被调用。

在您的 SecurityConfig.java 中尝试以下代码。

...
import org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler;

...
public class SecurityConfig extends WebSecurityConfigurerAdapter {
  ...

  @Override
  public void configure(WebSecurity web) throws Exception {
    DefaultWebSecurityExpressionHandler handler = new DefaultWebSecurityExpressionHandler();
    handler.setPermissionEvaluator(new CustomPermissionEvaluator());
    web.expressionHandler(handler);
  }
}

WebApplicationInitializer

...
import org.springframework.web.servlet.support.AbstractAnnotationConfigDispatcherServletInitializer;

...
public class AnnotationConfigDispatcherServletInitializer extends
    AbstractAnnotationConfigDispatcherServletInitializer {

  @Override
  protected Class<?>[] getRootConfigClasses() {
    return new Class[] {
      SecurityConfig.class,
    };
  }
}

【讨论】：

我怎样才能确保configure(WebSecurity web) 在启动时被调用，或者有没有办法在纯XML 中执行您在此处显示的内容？就像将我的 CustomPermissionEvaluator 注入到 WebSecurity bean 中一样？
您可以使用AbstractAnnotationConfigDispatcherServletInitializer 确保configure(WebSecurity web) 在启动时被调用。我已经编辑了我的答案。

【解决方案2】：

<sec:accesscontrollist hasPermission="1,2" domainObject="${someObject}">

someObject 表示应该应用 acl 的对象。所以在你的情况下childUnit bean。

仅供参考，我做了类似的事情，但没有使用 acl，我们连接了 parameternamediscoverer。

【讨论】：

我还没有 bean childUnit，这只是我找到的示例。我尝试在我的应用程序中实现相同的功能，但我遇到了上面描述的问题（第一次更新）。你知道我应该在哪里实现这个childUnit bean吗？顺便说一句，但是你的例子看起来也很不错。我会试一试的。
childunit 是您想要保护访问的任何示例......在您的情况下，无论您的 jsp 中访问的是什么 bean。普通角色安全允许按角色设置权限，无论使用 acl 都允许系统中的每个项目具有不同的安全访问权限（如果可以的话，尽量避免它 - 还没有看到需要这样做的业务案例（并且实际上在很长一段时间内使用学期））。我们做了一个，但没有人会为更新列表而烦恼。

【解决方案3】：

就我而言，我在 httpsession 中有一些字符串的 ArrayList。我需要向用户显示一个按钮，只有当按钮功能名称在该列表中可用时。我已经通过 Spring Security ACL 实现了它。

为此在类路径中添加 ACL + spring security core jar。

<dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-core</artifactId>
        <version>${spring.security.version}</version>
    </dependency>       
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>${spring.security.version}</version>
    </dependency>       
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-acl</artifactId>
        <version>${spring.security.version}</version>
    </dependency>

然后，我在 xml 中添加了 bean。

<global-method-security pre-post-annotations="enabled">
  <expression-handler ref="expressionHandler"/>
</global-method-security>    
<beans:bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
    <beans:property name="permissionEvaluator" ref="permissionEvaluator"/>
</beans:bean> 
<beans:bean id="permissionEvaluator" class="com.config.BasePermissionEvaluator"/>

然后是处理程序类BasePermissionEvaluator，这个类将评估，如果那个按钮有权限，

public class BasePermissionEvaluator implements PermissionEvaluator{
 @Override
 public boolean hasPermission(Authentication authentication, Object targetDomainObject, Object permission) {

  boolean hasPermission = true;
  // targetDomainObject [101001, 102001, 103001, 201001, 202001, 203001, 204001, 205001, 206001, 301001, 302001, 303001]permission : 303001
    @SuppressWarnings("unchecked")
    List<String> functionList =(List<String>) targetDomainObject;       
    if(!functionList.contains(permission.toString())) {
        hasPermission = false;  
    }
  return hasPermission;
 }

 @Override
 public boolean hasPermission(Authentication authentication,
   Serializable targetId, String targetType, Object permission) {
    throw new RuntimeException("Id and Class permissions are not supperted by this application");
 }
}

终于在jsp中，

    <%@taglib uri="http://www.springframework.org/security/tags"
 prefix="sec"%>

<sec:accesscontrollist hasPermission="101001"   domainObject="${USER_FUNCTIONS}"> 
                    <button type="reset" id ="clearMPId"><spring:message code="mp.clear"/></button>
  </sec:accesscontrollist>

希望对你有帮助。

【讨论】：