Spring безопасности - обеспечение запроса метод с hasPermission

Question

Общее использование является:

<intercept-url pattern="/**" access"ROLE_ADMIN" /> 

Можно ли сделать что-то вроде:

<intercept-url pattern="/**" access"hasPermission("addSomething1") /> 

я не видел hasPermission среди выражения безопасности перечисленные ниже допустимой :

У нас есть только:

аутентификация; denyAll; hasAnyRole (список ролей); hasIpAddress; isAnonymous() и т. д.

Я просто догадываюсь, если разрешено использование метода hasPermission для защиты метода, то это также должно быть также для веб-запросов.

Thanks,

Answer 1

Yap, возможно. Вам просто нужно, чтобы перейти к экспрессии на основе оценки

 <security:http use-expressions="true"> 

и обеспечивают PermissionEvaluator обработчик выражения:

<security:expression-hanlder ref="webSecurityExpressionHandler" /> 

<bean id="webSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler> 
    <property name="permissionEvaluator" ref="aclPermissionEvaluator" /> 
</bean> 

Конечно, вы должны иметь PermissionEvaluator реализацию. Вы можете написать свой собственный или можете использовать проект spring-acl.

Answer 2

Павел Горец уже было описано, как включить выражения в перехватывают-URL-адрес тега (КСТАТИ После позволили ему все атрибуты доступа должны были записаны как выражение SPEL.!)

Но есть одна вещь, которую вы должны знать: выражения, доступные для тега intercept-url, отличаются от тех, которые доступны для выражений SpEl на основе методов (например, @PreAuthorize). Это связано с тем, что первые реализованы в WebSecurityExpressoonRoot, а остальные реализованы в MethodSecurityExpressionRoot.

См. Мой ответ на этот вопрос stackoverflow.com/questions/8321696/... в нем описывается, как расширить выражение выражения безопасности веб-безопасности с помощью дополнительных выражений.