Spring Security 不同角色 DTAP

Question

我们目前在我们的环境中拥有不同的角色，例如在开发中我们有称为USR和ADM的角色，而在生产中它们使用全名，例如USER、ADMIN和ADMINISTRATOR。

我解决这个问题的想法是使用属性文件和角色名的占位符，例如，这是我的属性文件：

role.user='USER'
role.admin='ADMIN', 'ADMINISTRATOR'

在我的AppConfig 中，我在类的顶部添加了以下注释：

@PropertySource("classpath:roles.properties")
public class AppConfig {

}

在我的服务中，我现在正在使用：

@PreAuthorize("hasAnyRole(${role.admin})")
public Item deleteItem(int id) {

}

但是，这会导致以下异常：

Caused by: org.springframework.expression.spel.SpelParseException: EL1043E:(pos 12): Unexpected token.  Expected 'rparen())' but was 'lcurly({)'

---

因为它说它没有扩展花括号，所以我还尝试了以下操作：@PreAuthorize("hasAnyRole(role.admin)") 导致：

Caused by: org.springframework.expression.spel.SpelEvaluationException: EL1008E:(pos 11): Property or field 'role' cannot be found on object of type 'org.springframework.security.access.expression.method.MethodSecurityExpressionRoot' - maybe not public?

至少表达式本身现在看起来有效，但它似乎不是在查看属性文件，而是查看特定类的属性。

有没有人想办法解决这个问题？还是有另一种/更好的解决环境特定角色的解决方案？

Answer 1

@PreAuthorize 中使用的 Spring EL 只有：

• 访问 SecurityExpressionRoot 的方法和属性。

• 访问方法参数（需要使用调试信息或自定义 ParameterNameDiscoverer 进行编译）：

看到这个答案https://stackoverflow.com/a/3786581/883859

您可以通过@ 访问其他bean 所以

 public interface RoleNameGetter {
    String getSuperUserRole();
    ...
 }

和

 @Configuration
 @PropertySource("classpath:xyz.properties")
 @EnableGlobalMethodSecurity(prePostEnabled = true, proxyTargetClass = true)
 public class Configuration {
    @Autowired
    protected Environment env;

    @Bean
    RoleNameGetter roleNameGetter() {
      return new RoleNameGetter() {
        @Override
        public String getSuperUserRole() {
            return env.getProperty("superuser_role_name");
        }
    };
}

允许从 @PreAuthorize 中使用的 Spring EL 中的属性文件访问角色名称，如下所示：

  @PreAuthorize("hasAnyAuthority(@roleNameGetter.getSuperUserRole(),@roleNameGetter.getNormalUserRole())")
  public void end() {...}