代码之家  ›  专栏  ›  技术社区  ›  Laures

将角色层次结构应用于客户端角色

spring-security-oauth2 spring-security
  •  1
  • Laures  · 技术社区  · 6 年前

    对于我的应用程序中的安全角色,我们定义了角色层次结构,但当我们尝试使用 @PreAuthorize("#oauth2.clientHasRole('somerole')") 我们注意到,默认情况下,我们的雇佣关系不适用于客户角色。

    除了在 OAuth2MethodSecurityExpressionHandler ?

    1 回复  |  直到 6 年前
        1
  •  0
  •   Laures    6 年前

    正常的 OAuth2MethodSecurityExpressionHandler 不将角色层级应用于客户端权限。为了解决这个问题,我添加了自己的ExpressionHandler,通过扩展它来实现。 

    public class HierarchicalOAuth2MethodSecurityExpressionHandler extends OAuth2MethodSecurityExpressionHandler {
    public HierarchicalOAuth2MethodSecurityExpressionHandler() {
        super();
    }

    @Override
    public StandardEvaluationContext createEvaluationContextInternal(Authentication authentication, MethodInvocation mi) {
        StandardEvaluationContext ec = super.createEvaluationContextInternal(authentication, mi);
        ec.setVariable("oauth2roles", new HierarchicalOAuth2SecurityExpressionMethods(authentication, getRoleHierarchy()));
        return ec;
    }
}

public class HierarchicalOAuth2SecurityExpressionMethods extends OAuth2SecurityExpressionMethods {

    private RoleHierarchy roleHierarchy;
    private Authentication authentication;

    public HierarchicalOAuth2SecurityExpressionMethods(Authentication authentication, RoleHierarchy roleHierarchy) {
        super(authentication);
        this.authentication = authentication;
        this.roleHierarchy = roleHierarchy;
    }

    @Override
    public boolean clientHasAnyRole(String... roles) {
        if (authentication instanceof OAuth2Authentication) {
            OAuth2Request clientAuthentication = ((OAuth2Authentication) authentication).getOAuth2Request();
            Collection<? extends GrantedAuthority> clientAuthorities = roleHierarchy.getReachableGrantedAuthorities(clientAuthentication.getAuthorities());
            if (clientAuthorities != null) {
                Set<String> roleSet = AuthorityUtils.authorityListToSet(clientAuthorities);
                for (String role : roles) {
                    if (roleSet.contains(role)) {
                        return true;
                    }
                }
            }
        }

        return false;
    }
}

    现在,我可以选择使用#oauth2roles。clientHasAnyRole(…)如果我需要的话。

    推荐文章
    Daniel Donev  ·  java Spring@EnableResourceServer和@EnableWebSecurity
    6 年前
    Irios  ·  Spring Oauth2:未找到预身份验证的AuthenticationProvider身份验证[已关闭]
    6 年前
    Laures  ·  将角色层次结构应用于客户端角色
    6 年前
    TwiN Alireza Fattahi  ·  尽管成功,Spring Security OAuth2登录仍重定向到错误页面
    6 年前
    banncee  ·  Spring Boot Google Oauth2所有请求返回401未经授权的
    6 年前
    kavrosis  ·  如何在Spring Security中从未经授权的请求中配置api和ui
    6 年前
    secondbreakfast  ·  未使用自定义DefaultTokenServices bean
    6 年前
    tm1701  ·  Angular访问Spring boot授权服务器-不断提供CORS错误
    6 年前
    secondbreakfast  ·  AuthorizationServerSecurityConfigure中的领域方法的用途是什么?
    6 年前
    Tarnschaf  ·  如何扩展OAuth2主体
    6 年前
    关于   移动版
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号