Spring Security Web : DefaultWebSecurityExpressionHandler 缺省Web安全表达式处理器

最新推荐文章于 2025-10-16 09:27:57 发布
原创 最新推荐文章于 2025-10-16 09:27:57 发布 · 4.6k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

探讨了Spring Security中DefaultWebSecurityExpressionHandler的作用与实现,它是处理Web安全表达式的处理器,基于缺省配置和环境对表达式求值,用于访问控制决策。

概述

DefaultWebSecurityExpressionHandlerSpring Security Web用于Web安全表达式处理器(handler)。它会基于一组缺省配置,和当时的环境,对指定的Web安全表达式求值。

DefaultWebSecurityExpressionHandler对给定的认证token和请求上下文FilterInvocation创建一个评估上下文EvaluationContext。然后供SPEL求值使用。比如在WebExpressionVoter中它被这么应用 :

public class WebExpressionVoter implements AccessDecisionVoter<FilterInvocation> {
	// expressionHandler 缺省使用 DefaultWebSecurityExpressionHandler
	private SecurityExpressionHandler<FilterInvocation> expressionHandler = 
		new DefaultWebSecurityExpressionHandler();

	public int vote(Authentication authentication, FilterInvocation fi,
			Collection<ConfigAttribute> attributes) {
		assert authentication != null;
		assert fi != null;
		assert attributes != null;

		// 获取Web安全表达式配置属性
		WebExpressionConfigAttribute weca = findConfigAttribute(attributes);

		if (weca == null) {
			// 如果没有相应配置,返回 ACCESS_ABSTAIN:0 表示弃权
			return ACCESS_ABSTAIN;
		}
		// 缺省使用 DefaultWebSecurityExpressionHandler 创建 EvaluationContext
		EvaluationContext ctx = expressionHandler.createEvaluationContext(authentication,
				fi);
		ctx = weca.postProcess(ctx, fi);

		// 获取Web安全表达式配置属性weca中的表达式,和上面所创建的表达式求值上下文ctx,
		// 对其进行求值,结果按 boolean 类型处理
		// 如果求值结果为 true, 返回 ACCESS_GRANTED:1, 否则返回 ACCESS_DENIED:-1
		return ExpressionUtils.evaluateAsBoolean(weca.getAuthorizeExpression(), ctx) ? ACCESS_GRANTED
				: ACCESS_DENIED;
	}

源代码解析

源代码版本 : 5.1.2.RELEASE

package org.springframework.security.web.access.expression;

import org.springframework.security.access.expression.AbstractSecurityExpressionHandler;
import org.springframework.security.access.expression.SecurityExpressionHandler;
import org.springframework.security.access.expression.SecurityExpressionOperations;
import org.springframework.security.authentication.AuthenticationTrustResolver;
import org.springframework.security.authentication.AuthenticationTrustResolverImpl;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.FilterInvocation;
import org.springframework.util.Assert;


public class DefaultWebSecurityExpressionHandler extends
		AbstractSecurityExpressionHandler<FilterInvocation> implements
		SecurityExpressionHandler<FilterInvocation> {

	// 用于识别一个Authentication对象是否 anonymous, rememberMe
	// 缺省使用AuthenticationTrustResolverImpl
	private AuthenticationTrustResolver trustResolver = new AuthenticationTrustResolverImpl();

	// 缺省使用的角色前缀
	private String defaultRolePrefix = "ROLE_";

	// 对给定的认证token authentication 和给定的请求上下文 fi 构建 SecurityExpressionOperations,
	// 此 SecurityExpressionOperations 用于进一步构建 EvaluationContext 对象
	@Override
	protected SecurityExpressionOperations createSecurityExpressionRoot(
			Authentication authentication, FilterInvocation fi) {	
		WebSecurityExpressionRoot root = new WebSecurityExpressionRoot(authentication, fi);
		root.setPermissionEvaluator(getPermissionEvaluator());
		root.setTrustResolver(trustResolver);
		root.setRoleHierarchy(getRoleHierarchy());
		root.setDefaultRolePrefix(this.defaultRolePrefix);
		return root;
	}

	/**
	 * Sets the  AuthenticationTrustResolver to be used. The default is
	 * AuthenticationTrustResolverImpl.
	 *
	 * @param trustResolver the AuthenticationTrustResolver to use. Cannot be
	 * null.
	 */
	public void setTrustResolver(AuthenticationTrustResolver trustResolver) {
		Assert.notNull(trustResolver, "trustResolver cannot be null");
		this.trustResolver = trustResolver;
	}

	/**
	 * 
	 * Sets the default prefix to be added to 
	 * org.springframework.security.access.expression.SecurityExpressionRoot#hasAnyRole(String...) 
	 * or org.springframework.security.access.expression.SecurityExpressionRoot#hasRole(String). 
	 * For example, if hasRole("ADMIN") or hasRole("ROLE_ADMIN")
	 * is passed in, then the role ROLE_ADMIN will be used when the defaultRolePrefix is
	 * "ROLE_" (default).
	 * 
	 * 设置表达式hasAnyRole(String...)或者hasRole(String)使用的角色前缀。不调用该方法,则使用缺省值
	 * "ROLE_"。
	 * 
	 * If null or empty, then no default role prefix is used.
	 * 如果调用了该方法,设置参数为 null 或者 "", 表明不使用角色前缀。
	 *
	 * @param defaultRolePrefix the default prefix to add to roles. Default "ROLE_".
	 */
	public void setDefaultRolePrefix(String defaultRolePrefix) {
		this.defaultRolePrefix = defaultRolePrefix;
	}
}

DefaultWebSecurityExpressionHandler继承自AbstractSecurityExpressionHandler,真正创建EvaluationContext的方法也是现在该类中:

package org.springframework.security.access.expression;

import org.springframework.context.ApplicationContext;
import org.springframework.context.ApplicationContextAware;
import org.springframework.context.expression.BeanFactoryResolver;
import org.springframework.expression.BeanResolver;
import org.springframework.expression.EvaluationContext;
import org.springframework.expression.ExpressionParser;
import org.springframework.expression.spel.standard.SpelExpressionParser;
import org.springframework.expression.spel.support.StandardEvaluationContext;
import org.springframework.security.access.PermissionEvaluator;
import org.springframework.security.access.hierarchicalroles.RoleHierarchy;
import org.springframework.security.core.Authentication;
import org.springframework.util.Assert;

/**
 * Base implementation of the facade which isolates Spring Security's requirements for
 * evaluating security expressions from the implementation of the underlying expression
 * objects.
 * Spring Security安全表达式求值实现的通用逻辑基类,同具体某种底层安全表达式实现,比如Web安全,隔离开来。
 * 
 * @author Luke Taylor
 * @since 3.1
 */
public abstract class AbstractSecurityExpressionHandler<T> implements
		SecurityExpressionHandler<T>, ApplicationContextAware {
	// 缺省使用 spel parser	
	private ExpressionParser expressionParser = new SpelExpressionParser();
	private BeanResolver br;
	private RoleHierarchy roleHierarchy;
	// 缺省使用 denyAll 评估器
	private PermissionEvaluator permissionEvaluator = new DenyAllPermissionEvaluator();

	public final ExpressionParser getExpressionParser() {
		return expressionParser;
	}

	public final void setExpressionParser(ExpressionParser expressionParser) {
		Assert.notNull(expressionParser, "expressionParser cannot be null");
		this.expressionParser = expressionParser;
	}

	/**
	 * Invokes the internal template methods to create  StandardEvaluationContext
	 * and SecurityExpressionRoot objects.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return the context object for use in evaluating the expression, populated with a
	 * suitable root object.
	 */
	public final EvaluationContext createEvaluationContext(Authentication authentication,
			T invocation) {
		// createEvaluationContext 由子类提供具体实现,根据自己所服务的安全环境创建相应的
		// SecurityExpressionOperations 对象
		SecurityExpressionOperations root = createSecurityExpressionRoot(authentication,
				invocation);
		// 创建	EvaluationContext, 实现类使用标准实现 	StandardEvaluationContext
		StandardEvaluationContext ctx = createEvaluationContextInternal(authentication,
				invocation);
		// 表达式求值可能需要用到bean,这里指定bean解析器,通常指向整个Spring bean容器		
		ctx.setBeanResolver(br);
		// 设置 EvaluationContext 的根对象为上面创建的 SecurityExpressionOperations root
		ctx.setRootObject(root);

		return ctx;
	}

	/**
	 * Override to create a custom instance of StandardEvaluationContext.
	 * 一个StandardEvaluationContext或者其子类,
	 * 缺省是一个StandardEvaluationContext , 子类可以覆盖该方法提供一个自定义的
	 * StandardEvaluationContext子类实例
	 * 
	 * The returned object will have a SecurityExpressionRootPropertyAccessor
	 * added, allowing beans in the ApplicationContext to be accessed via
	 * expression properties.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return A StandardEvaluationContext or potentially a custom subclass if
	 * overridden.
	 */
	protected StandardEvaluationContext createEvaluationContextInternal(
			Authentication authentication, T invocation) {
		return new StandardEvaluationContext();
	}

	/**
	 * Implement in order to create a root object of the correct type for the supported
	 * invocation type.
	 *
	 * @param authentication the current authentication object
	 * @param invocation the invocation (filter, method, channel)
	 * @return the object wh
	 */
	protected abstract SecurityExpressionOperations createSecurityExpressionRoot(
			Authentication authentication, T invocation);

	protected RoleHierarchy getRoleHierarchy() {
		return roleHierarchy;
	}

	public void setRoleHierarchy(RoleHierarchy roleHierarchy) {
		this.roleHierarchy = roleHierarchy;
	}

	protected PermissionEvaluator getPermissionEvaluator() {
		return permissionEvaluator;
	}

	public void setPermissionEvaluator(PermissionEvaluator permissionEvaluator) {
		this.permissionEvaluator = permissionEvaluator;
	}

	public void setApplicationContext(ApplicationContext applicationContext) {
		br = new BeanFactoryResolver(applicationContext);
	}
}
Spring Security 6.x 系列【20】授权篇之自定义权限注解表达式
记录知识、锤炼自我
08-10 3853
在之前的案例中,使用提供了很多计算表达式,能满足大部分应用场景,但是某些特殊条件下,如何进行表达式的自定义扩展呢?
spring-security权限管理
weixin_43966076的博客
09-08 309
文章目录前言一、服务器端方法级权限控制1.导入坐标2.sping-security.xml配置3.注解使用二、页面端标签控制权限1.导入坐标2.页面使用注意点 前言 spring-security权限管理 一、服务器端方法级权限控制 1.导入坐标 <dependency> <groupId>javax.annotation</groupId> <artifactId>jsr250-api</artifactId> &lt
史上最简单的Spring Security教程(十七):FilterSecurityInterceptor默认初始化逻辑剖析
银河架构师的博客
08-05 4159
Spring Security框架默认会自动创建一个FilterSecurityInterceptor实例,如我们前面所述,自定义的FilterSecurityInterceptor要么是在默认FilterSecurityInterceptor实例之前,要么是在之后,看具体业务场景。为啥我们不能替换掉默认的FilterSecurityInterceptor实例呢?先来剖析一下默认的FilterSecurityInterceptor实例初始化逻辑。 ​ SecurityMeta...
【网络安全CTF夺旗攻击实战】CVE-2022-22963:Spring Cloud Function SpEL远程代码执行漏洞复现全记录!从端口扫描探测到反弹Shell的完整攻防
最新发布
我是网络安全兼技能大赛工程师,专注网络安全技术学习与技能大赛实战!持续分享最新的技术文章,帮你少走弯路,一起在技术赛道上进步~
10-16 1703
由于 Spring Cloud Function 中 RoutingFunction 类的 apply 方法,将请求头中 “spring.cloud.function.routing-expression” 参数作为 Spel 表达式处理,导致 Spel 表达式注入。攻击者使用路由功能时,可利用该漏洞远程执行任意代码
Spring Security Config : HttpSecurity安全配置器 ExpressionUrlAuthorizationConfigurer
ywb201314的专栏
04-06 1654
这里每组RequestMatcher表示一组调用者想设定成相同权限控制的Http method/URL pattern,这里所设置的权限属性其实是基于SpEL的权限表达式。// 安全配置器指定一个安全表达式处理器 SecurityExpressionHandler,// 添加一组需要共同权限设置的 RequestMatcher,并对这组 RequestMatcher 设置相同的权限控制。
Spring Security(16)——基于表达式的权限控制
dotedy的博客
10-16 2007
EL表达式hasPermissionPreFilterPreAuthorizeSpring Security  基于表达式的权限控制 目录 1.1      通过表达式控制URL权限 1.2      通过表达式控制方法权限 1.2.1     使用@PreAuthorize和@PostAuthorize进行访问控制 1.2.2     使用@PreFilter和@Post
Spring-Security源码分析】Spring安全表达式解析
通往神秘的道路的专栏
02-28 5896
在使用Spring Security进行权限检查的时候会用到SecurityExpressionHandler,具体参考《【Spring-Security源码分析】Spring Security基于注解认证原理》。 SecurityExpressionHandler接口定义了两个方法。 public interface SecurityExpressionHandler&lt;T&gt; e...
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 657
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
Spring Security 实战干货:Spring Boot 中的 Spring Security 自动配置初探
qq_16229873的博客
10-14 872
更多写作与参考学习材料等可登录ZG文库网http://www.zgwenku.com/ 1. 前言 我们在前几篇对 Spring Security 的用户信息管理机制,密码机制进行了探讨。我们发现Spring Security Starter相关的Servlet自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot ...
深入浅出SpringSecurity和OAuth2(一)—— 初识SpringSecurity
你要悄悄的拔尖,然后惊艳所有人
07-27 3330
文章目录前言正文1. 初识SpringSecurity2. Spring Security项目核心jar包介绍3. SpringSecurity核心注解3.1 @EnableWebSecurity3.2 @EnableGlobalMethodSecurity总结参考 前言 相信了解过SpringSecurity或者是OAuth2的读者,会发现网上会有非常多的相关文章,或是纯概念的,或是带有demo的,无论是哪种类型的文章,本人去阅读之后,对于整个框架的概念还是一知半解,也仅仅是实现了某些功能、某些效果而已,
Spring Security学习(三)授权管理器
德玛西亚
03-29 1167
在第一篇的授权部分,有分析到 授权主要由AbstractSecurityInterceptor及其子类完成 具体到实际代码中其实是 // 用户通过了认证,基于当前用户信息,和目标对象的安全属性配置,进行相应的权限检查 this.accessDecisionManager.decide(authenticated, object, attributes); AccessDecisi...
Spring Security Tutorial (安全访问,登陆验证,权限) - SpringBoot集成Spring Security
qq_41974199的博客
07-14 392
1分钟入门 Spring Security (安全访问) - SpringBoot集成Spring Security 文章目录1分钟入门 Spring Security (安全访问) - SpringBoot集成Spring Security1:简单的登录验证 1:简单的登录验证 让我们花一些时间简单地配置 Security 。 在 pom.xml 文件中添加: <dependency> <groupId>org.springframework.boot</group
自定义spring security安全表达式
阿信今天的代码没bug的博客
09-12 976
Spring Security中,DefaultMethodSecurityExpressionHandler是处理方法安全表达式的默认处理器。如果你想注册自定义的安全表达式方法,你需要创建一个自定义的表达式处理器,继承自DefaultMethodSecurityExpressionHandler,并重写createSecurityExpressionRoot方法来提供你自己的MethodSecurityExpressionOperations实现。
Spring Security基于表达式的访问控制
koflance的博客
03-30 2966
概述相比较以前使用配置属性(configuration attributes)或access-decision voters,Spring Security 3.0提供了基于EL表达式的访问控制(authorization mechanism)。该表达式可以用于web和method访问控制(access control)。Security提供的EL表达式root object是SecurityExp
WebSecurity
awds18338701279的博客
07-06 1523
WebSecurity 此类是由配置类WebSecurityConfiguration创建,为了创建FilterChainProxy,称为Spring安全过滤器链。springSecurityFilterChain是DelegatingFilterProxy所委托的过滤器。对WebSecurity的自定义可以通过创建WebSecurityConfigurer来完成,或者更可能通过重写WebSecurityConfigurerAdapter来完成。 ignoring public IgnoredReques
java oauth2 例子_Java OAuth2WebSecurityExpressionHandler类代码示例
weixin_39562752的博客
02-25 705
import org.springframework.security.oauth2.provider.expression.OAuth2WebSecurityExpressionHandler; //导入依赖的package包/类@Overrideprotected void configure(HttpSecurity http) throws Exception {// @formatter...
expressionhandle表达式中使用非ocl变量
wangyunyong0905的专栏
10-10 738
expressionhandle的expression中要使用变量,一般要用到variablehandle变量,很麻烦.如一般的字符串变量可使用以下方法解决 c#eh.Expression = System.String.Format("Person.allInstances->orderBy({0}), button1.Text); Delphi: eh.Expression :=
SpringSecurity的配置详解——WebSecurityConfiguration
C_1_1_的博客
06-09 6326
WebSecurityConfiguration.class: @Configuration public class WebSecurityConfiguration implements ImportAware, BeanClassLoaderAware { private WebSecurity webSecurity; private Boolean debugEnabled...
Spring Security-- 使用权限编码控制权限
小毛贼_哪里逃
03-23 1810
spring security中,如果权限字符以"ROLE_"开头,者可以使用@PreAuthorize("hasRole('ROLE_ADMIN')")注解匹配,其他使用@PreAuthorize("hasAuthority('user:write')")注解匹配 修改建表结构 CREATE TABLE `permission` ( `id` bigint(11) NOT N...
Invalid left-hand side expression in prefix operation
07-22
<think>嗯,用户遇到了JavaScript中的"Invalid left-hand side expression in prefix operation"错误,这属于左值引用问题。从引用内容看,用户可能尝试在控制台执行了类似++2或++[]这样的操作。 用户提供的四个引用都指向同一个核心问题:前置递增运算符(++)要求操作数必须是可修改的左值表达式。引用1和2展示了具体的错误案例,引用3详细解释了引用类型的要求,引用4则展示了另一个赋值场景下的类似错误。 这个错误通常发生在两种场景: 1. 尝试对原始值使用++:比如++2或++"hello",数字字面量和字符串原始值都不是可赋值的容器 2. 尝试对临时值使用++:比如++[]或++(a+b),这些表达式计算后不产生持久化的存储位置 解决方法很明确:确保++操作的是变量或对象属性。例如: - 错误:++2 → 正确:let x=2; x++; - 错误:++[] → 正确:let arr=[]; arr[0]++ 特别要注意引用3提到的关键点:++运算符要求操作数必须是引用(reference),而非值(value)。这解释了为什么[[]][0]++可以工作(它解析为数组元素的引用),而[]++会报错(整个数组字面量本身不是引用)。 用户可能是在调试时无意中写了这样的表达式,或者是误解了++运算符的运作机制。需要强调左值的概念——必须是内存中有明确存储位置的表达式。</think>## JavaScript 错误解析:`Invalid left-hand side expression in prefix operation` 这个错误表示你在使用**前置递增运算符 (`++`) 或前置递减运算符 (`--`)** 时,运算符右侧的表达式不能作为有效的“左值”。 ### 🧠 错误原因 1. **左值要求**:前置 `++`/`--` 运算符要求其操作数必须是一个**可修改的存储位置(左值)**。左值通常是: - 变量(如 `counter`) - 对象属性(如 `obj.value`) - 数组元素(如 `arr[0]`) 2. **无效操作数**:以下情况会触发此错误: - **原始值**:`++2`(数字字面量不可修改) - **临时值**:`++(a + b)`(表达式结果无存储位置) - **非引用字面量**:`++[]`(数组字面量本身不是可修改的引用) - **函数调用**:`++getValue()`(函数返回值不是存储位置) ### 🔧 解决方法 1. **确保操作数是变量或属性引用**: ```javascript // 错误 ❌ ++2; // 数字字面量 ++[]; // 数组字面量 ++(a + b); // 表达式结果 // 正确 ✅ let count = 0; ++count; // 操作变量 const obj = { value: 5 }; ++obj.value; // 操作对象属性 const arr = [10]; ++arr[0]; // 操作数组元素 ``` 2. **区分引用与值**: - 操作数必须是**引用**(指向内存位置),而非单纯的值。 - 示例:`[[]][0]` 是引用(指向内部数组),而 `[]` 是字面量值。 3. **特殊情况:数组元素引用**: ```javascript // 正确 ✅:`[[]][0]` 解析为内部数组的引用 ++[[]][0]; // 等效于:let inner = []; ++inner; // 错误 ❌:`[]` 是临时字面量 ++[]; ``` ### 💡 关键总结 | **场景** | **有效?** | **原因** | |-------------------|------------|------------------------------| | `++variable` | ✅ 有效 | 变量是明确的可修改存储位置 | | `++obj.property` | ✅ 有效 | 对象属性是可修改的引用 | | `++arr[index]` | ✅ 有效 | 数组元素是可修改的引用 | | `++123` | ❌ 无效 | 原始值字面量不可修改 | | `++[]` | ❌ 无效 | 数组字面量不是持久化引用 | | `++(x + y)` | ❌ 无效 | 表达式结果无内存存储位置 | > **核心原则**:前置 `++`/`--` 需要直接操作一个**可赋值的存储位置**(左值)。如果操作数不是变量、属性或数组元素等引用,引擎会抛出此错误。 ### 📚 相关问题 1. JavaScript 中左值(L-value)和右值(R-value)的区别是什么? 2. 如何避免 `Invalid left-hand side in assignment` 错误(赋值场景)? 3. JavaScript 中哪些运算符要求操作数必须是左值? 4. 为什么 `let x = 0; x++` 有效而 `0++` 无效? [^1]: 引用自浏览器控制台错误示例:`++2` 和 `++[]` 触发 `Invalid left-hand side expression in prefix operation`。 [^2]: 对比 `[[]][0]++`(有效)和 `[]++`(无效)的差异。 [^3]: 解释前置递增操作需要引用而非字面量,如 `++[]` 的无效性。 [^4]: 类似错误在赋值操作中的表现(`Invalid left-hand side in assignment`)。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值