灵活的Spel表达式

已于 2023-09-06 20:34:48 修改
阅读量746 收藏 2
点赞数
文章标签: spring 正则表达式 后端 java
于 2023-09-06 20:33:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43996530/article/details/132722679
版权

最近在开发一个安全类的项目,其中涉及到一个功能是根据一些规则判断某些行为是否是恶意的。行为产生的数据实体有固定的的数据结构,需要根据一些规则去校验指定的对象是否满足要求,最开始项目中安全人员是通过falco规则的形式处理,后来发现不够灵活,结果就想到了Spring提供的Spel表达式,试用了一下果然是yyds,全面的匹配符和灵活的规则组装可以覆盖所有场景,下面小编就和大家一起剖析下这个强大的表达式吧。

1、Spel是什么

Spring表达式语言全称为“Spring Expression Language”,缩写为“SpEL”,类似于Struts2x中使用的OGNL表达式语言,能在运行时构建复杂表达式、存取对象图属性、对象方法调用等等,并且能与Spring功能完美整合,如能用来配置Bean定义。Spel表达式不依赖Spring容器,可以单独使用。
 

2、Spel表达式类型

基本表达式

字面量表达式、关系,逻辑与算数运算表达式、字符串连接及截取表达式、三目运算及Elivis表达式、正则表达式、括号优先级表达式。

字面量表达式

ExpressionParser parser = new SpelExpressionParser();
// 字符串
String str1 = parser.parseExpression("'test'").getValue(String.class);
String str2 = parser.parseExpression("\"test\"").getValue(String.class);
// 数字类型
int int1 = parser.parseExpression("1").getValue(Integer.class);
long long1 = parser.parseExpression("1L").getValue(long.class);
float float1 = parser.parseExpression("1.1").getValue(Float.class);
double double1 = parser.parseExpression("1.1E+1").getValue(double.class);
int hex1 = parser.parseExpression("0xf").getValue(Integer.class);
// 布尔类型
boolean true1 = parser.parseExpression("true").getValue(boolean.class);
// null类型
Object null1 = parser.parseExpression("null").getValue(Object.class);

算数运算表达式
SpEL支持:加(+)、减(-)、乘(*)、除(/)、求余(%)、幂(^)等算数运算 ,并且支持用英文替代符号,如:MOD等价%、DIV等价/,且不区分大小写。

ExpressionParser parser = new SpelExpressionParser();
int int1 = parser.parseExpression("3+2").getValue(Integer.class);// 5
int int2 = parser.parseExpression("3*2").getValue(Integer.class);// 6
int int3 = parser.parseExpression("3%2").getValue(Integer.class);// 1
int int4 = parser.parseExpression("3^2").getValue(Integer.class);// 9

关系运算表达式
SpEL支持:等于(==)、不等于(!=)、大于(>)、大于等于(>=)、小于(<)、小于等于(<=),区间(between)等关系运算。

“EQ” 、“NE”、 “GT”、“GE”、 “LT” 、“LE”来表示等于、不等于、大于、大于等于、小于、小于等于。

并且支持用英文替代符号,如:EQ等价==、NE等价!=、GT等价>、GE等价>=、LT等价<、LE等价<=,且不区分大小写。

ExpressionParser parser = new SpelExpressionParser();
boolean b1 = parser.parseExpression("3==2").getValue(Boolean.class);// false
boolean b2 = parser.parseExpression("3>=2").getValue(Boolean.class);// true
boolean b3 = parser.parseExpression("2 between {2, 3}").getValue(Boolean.class);// true

逻辑运算符表达式
SpEL支持:或(or)、且(and)、非(!或NOT)。

ExpressionParser parser = new SpelExpressionParser();
boolean b1 = parser.parseExpression("2>1 and false").getValue(Boolean.class);// false
boolean b2 = parser.parseExpression("2>1 or false").getValue(Boolean.class);// true
boolean b3 = parser.parseExpression("NOT false and (2>1 and 3>1)").getValue(Boolean.class);// true

类相关表达式

类类型表达式、类实例化、instanceof表达式、变量定义及引用、赋值表达式、自定义函数、对象属性存取及安全导航表达式、对象方法调用、Bean引用。

访问静态字段


ExpressionParser parser = new SpelExpressionParser();
double piValue = parser.parseExpression("T(java.lang.Math).PI").getValue(Double.class);  // 获取 Math.PI 的值

调用静态方法:


ExpressionParser parser = new SpelExpressionParser();
int randomInt = parser.parseExpression("T(java.lang.Math).random() * 100").getValue(Integer.class);  // 获取 0 到 100 之间的随机数

Bean引用

ExpressionParser parser = new SpelExpressionParser();
Expression expression = parser.parseExpression("@myBean.someProperty");
String value = expression.getValue(String.class);

属性注入


import org.springframework.beans.factory.annotation.Value;
import org.springframework.stereotype.Component;

@Component
public class ConfigSeparationExample {
    @Value("${app.message}")
    private String welcomeMessage;
    
    public void displayWelcomeMessage() {
        System.out.println(welcomeMessage);
    }
}

变量定义及引用

SpEL支持:
1、使用#variableName引用通过EvaluationContext接口的   
      setVariable(variableName, value)方法定义的变量;

2、使用#root引用根对象使用#this引用当前上下文对象

ExpressionParser parser = new SpelExpressionParser();
// #variableName
EvaluationContext context = new StandardEvaluationContext();
context.setVariable("name1", "value1");
String str1 = parser.parseExpression("#name1").getValue(context, String.class);// value1
User user = new User();
user.setId("1");
context = new StandardEvaluationContext(user);
// #root(#root可以省略)
String str2 = parser.parseExpression("#root.id").getValue(context, String.class);// 1
String str3 = parser.parseExpression("id").getValue(context, String.class);// 1
// #this
String str4 = parser.parseExpression("#this.id").getValue(user, String.class);// 1

集合相关表达式

内联List、内联数组、集合,字典访问、列表,字典,数组修改、集合投影、集合选择;不支持多维内联数组初始化;不支持内联字典定义。

遍历集合


ExpressionParser parser = new SpelExpressionParser();
List<Integer> numbers = Arrays.asList(1, 2, 3, 4, 5);
List<Integer> doubledNumbers = parser.parseExpression("{1, 2, 3, 4, 5}.![#this * 2]").getValue(numbers, List.class);
// 结果为 [2, 4, 6, 8, 10]

过滤集合


ExpressionParser parser = new SpelExpressionParser();
List<Integer> numbers = Arrays.asList(1, 2, 3, 4, 5);
List<Integer> filteredNumbers = parser.parseExpression("{1, 2, 3, 4, 5}.?[#this >= 3]").getValue(numbers, List.class);
// 结果为 [3, 4, 5]

模板表达式

模板表达式是一种用于字符串模板和格式化的功能。它允许您在字符串中嵌入 SpEL 表达式,然后通过解析表达式获取实际的值,从而动态地构建字符串。模板表达式可以在配置文件、注解、XML 配置等地方使用,以实现动态文本的生成。

字符串模板和插值


ExpressionParser parser = new SpelExpressionParser();
String name = "Alice";
String message = parser.parseExpression("'Hello, ${name}!'").getValue(context, String.class);  // 结果为 "Hello, Alice!"

3、Spel组件解析

在介绍Spel具体使用之前,我们先来看下Spel表达式由哪几部分组成,又是如何进行工作的。

  • 表达式(Expression)
    表达式是 SpEL 的核心,它代表了您想要在运行时求值的一段代码。表达式可以由解析器解析,并且使用评估器的上下文进行求值。您可以使用 SpEL 表达式进行各种操作,包括属性访问、方法调用、运算符运算、条件判断等。

  • 表达式解析器(ExpressionParser)
    表达式解析器是 SpEL 的入口点,它负责创建和解析 SpEL 表达式。通常,您可以使用 SpelExpressionParser 类来创建表达式解析器实例。表达式解析器接受一个表达式字符串作为输入,并返回一个可执行的表达式对象。

  • 解析上下文(ParsingContext)
    解析上下文包含了解析 SpEL 表达式时的一些配置信息,例如在解析字符串字面值时使用的字符串引号字符、变量前缀、函数前缀等。解析上下文通过表达式解析器来配置,以确保正确地解析表达式字符串。

  • 评估上下文(EvaluationContext)
    评估器是 SpEL 的核心组件,它在评估 SpEL 表达式时提供了一个执行环境。标准评估器(StandardEvaluationContext)封装了表达式的执行环境,包括变量、函数、类型等。您可以在评估表达式之前,通过评估器设置上下文的属性、方法和其他内容。评估器还支持对 Bean 属性的引用、方法调用和更多操作。


当您使用 SpEL 时,流程大致如下:

  1. 创建一个表达式解析器实例(通常是 SpelExpressionParser)。

  2. 创建一个标准评估器上下文(StandardEvaluationContext),您可以在上下文中设置变量、函数、类型等。

  3. 使用表达式解析器创建一个表达式对象。

  4. 在评估器上下文中对表达式进行求值,得到结果。
     

4、使用注意事项 

安全性

对于任何表达式的执行我们都需要考虑安全性问题,表达式是动态解析执行的,像Spel这种表达式还可以对类型、函数等进行操作,其实跟我们自己的代码是一样了,如果恶意用户在表达式里面嵌入一个恶意代码随着表达式执行那就麻烦了,所以我们这里需要考虑安全性问题。

EvaluationContext接口有俩个实现类StandardEvaluationContext和SimpleEvaluationContext。SimpleEvaluationContext是一个安全的类,主要的漏洞修复就是靠它来实现的 (但这并不完美,因为我们还需要设置对变量值的过滤)。如果我们不进行设置的话StandardEvaluationContext是SpEL默认使用的EvaluationContext。

SimpleEvaluationContext - 针对不需要SpEL语言语法的全部范围并且应该受到有意限制的表达式类别,公开SpEL语言特性和配置选项的子集。

StandardEvaluationContext - 公开全套SpEL语言功能和配置选项。您可以使用它来指定默认的根对象并配置每个可用的评估相关策略。 

大家在使用的时候就会发现,使用SimpleEvaluationContext的时候只能支持基本的语法,像一些类型、函数都无法使用。

下面通过一个程序来看看两个对象使用结果的区别:

编写一个表达式启动一个计算器程序:

String inject = "T(java.lang.Runtime).getRuntime().exec('calc.exe')";

StandardEvaluationContext:

StandardEvaluationContext std_c = new StandardEvaluationContext();

SimpleEvaluationContext:

EvaluationContext simple_c = SimpleEvaluationContext.forReadOnlyDataBinding().build();

结果:

第一个结果:exp.getValue(std_c); //计算器将启动 
第二个结果:exp.getValue(simple_c); //运行出现错误

spel表达式
夏天
05-31 242
Spring表达式语言(SpEL)支持许多功能,您可以使用此特殊的“ ExpressionParser ”接口测试那些表达式功能。 这是两个代码段,展示了使用Spring EL的基本用法。 SpEL计算文字字符串表达式。 ExpressionParser parser = new SpelExpressionParser(); Expression exp = parser.parseExpression("'put spel expression here'"); String msg = exp.get
SpEL表达式
测试
04-30 766
简介 Spring表达式语言,简称SpEL,是一个支持运行时查询和操作对象图的强大表达式语言。 语法:使用#{…}作为定界符,为bean的属性进行动态赋值。 代码示例<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/bean...
Springspel表达式
weixin_42323982的博客
06-14 4890
表达式中使用"#variableName"引用;除了引用自定义变量,SpE还允许引用根对象及当前上下文对象,使用"#root"引用根对象,使用"#this"引用当前上下文对象;context . setVariable("name" , "路人甲java");context . setVariable("lesson" , "Spring系列");
spel表达式(Spring Expression Language)即Spring表达式语言
ZBZBZB12138的博客
01-19 1441
SpEL(Spring Expression Language),即Spring表达式语言。它是一种类似JSP的EL表达式、但又比后者更为强大有用的表达式语言。 为什么要用SpEL:因为它可以在spring容器内实时查询和操作数据,尤其是操作List列表型、Array数组型数据。 我的理解是,SpEL可以在数据集合里获取固定的字段数据 一. 用法 常规SpEL有三种用法: 在注解@Value中使用 在XML配置中使用 在代码中创建Expression对象,利用Expression对象来执行Sp
Spring-SpEL表达式
最新发布
qq_52319557的博客
12-23 1454
SpELSpring Expression Language)是Spring框架中用于表达式语言的一种方式。它类似于其他编程语言中的表达式语言,用于在运行时计算值或执行特定任务。SpEL提供了一种简单且强大的方式来访问和操作对象的属性、调用对象的方法,以及实现运算、条件判断等操作。它可以被用于XML和注解配置中,可以用于许多Spring框架中的特性,如依赖注入、AOP、配置文件等。SpEL表达式可以在字符串中进行定义,使用特殊的语法和符号来表示特定的操作。
什么是SpEL 表达式
还在活水泥的未来包工头
11-14 327
hasRole(‘ROLE_ADMIN’) 表示当前用户必须具有 “ROLE_ADMIN” 的角色,#user.age > 18 表示传入的 User 对象的 age 属性必须大于 18。${user.name} 和 ${user.role} 是 SpEL 表达式,表示从 user 对象中获取 name 和 role 属性的值,最终生成类似 “Hello, Alice!这些示例展示了 SpEL 表达式在不同场景下的使用方式,以及如何利用 SpEL 表达式进行动态的属性设置、权限验证和字符串处理。
SpEL表达式详解
热门推荐
怪咖@的博客
10-29 3万+
`Spring Expression Language`(简称SpEL)是一种功能强大的表达式语言,是`spring`提供的,该语言类似于JSP当中的EL表达式。但提供了很多额外的功能,最出色的就是`函数调用`和`简单字符串的模板函数`。他需要使用`spring`提供的解析器来解析,但是他不依赖于`spring`,可以独立使用。在`spring`程序当中,我们不用管解析器,由`spring`来帮我们自动构建。我们只需要写想要表达的字符串,交给`spring`来进行解析即可。
Spel表达式
I want to know a little more.
07-08 904
8.Spring 表达式语言 (SpEL) 8.1介绍 Spring表达式语言(简称SpEl)是一个支持查询和操作运行时对象导航图功能的强大的表达式语言. 它的语法类似于传统EL,但提供额外的功能,最出色的就是函数调用和简单字符串的模板函数。 尽管有其他可选的 Java 表达式语言,如 OGNL, MVEL,JBoss EL 等等,但 Spel 创建的初衷是了给 Spring 社区提供一种简单而高效的表达式语言,一种可贯穿整个 Spring 产品组的语言。这种语言的特性应基于 Spring 产品的..
SpEL中 Expression 的使用
才这么点的博客
06-03 8704
ExpressionParser expressionParser = new SpelExpressionParser(); //表达式 Expression expression1 = expressionParser.parseExpression("#Date"); //执行 使用默认的 spring容器 System.out.println(expression1.getValue()); //使用...
SPEL表达式总结
Java后端技术栈
09-18 2250
SpEL表达式总结 前言 SpELSpring Expression Language),即Spring表达式语言,是比JSP的EL更强大的一种表达式语言。为什么要总结SpEL,因为它可以在运行时查询和操作数据,尤其是数组列表型数据,因此可以缩减代码量,优化代码结构。个人认为很有用。 目录 前言 一. 用法 1. @Value 2. 配置 3. Expression​​​​​​ 二. 表达式语法 1. 直接量表达式 2. 直接使用java代码new/instance of...
SpEL 表达式
m0_73837751的博客
11-08 1161
Spring 框架提供的一种表达式语言,用于在运行时解析和计算表达式。它的核心作用在 Spring 应用程序运行时,动态解析表达式,并将结果替换到对应位置。这种能力使得 SpEL 可以灵活地动态控制 Bean 属性、配置项、缓存键值、权限控制等内容。SpEL 表达式通常在#{}中编写,例如。Spring 会在运行时将这个表达式解析并替换成计算结果。通过 SpEL 表达式,我们可以实现动态的值注入和行为控制,让应用在运行时具备高度的灵活性。
Spring神器:SpEl表达式
five-five
03-12 1763
Spring Expression Language (SpEL) 是Spring框架提供的一种强大的表达式语言,它允许开发人员在运行时动态地计算表达式,并访问和操作对象图。SpEL是一种基于表达式的语言,它支持各种操作符、函数和变量,可以用来执行各种复杂的计算和数据操作。SpEL的语法类似于Java表达式语言,但它更加强大和灵活SpEL表达式可以用在Spring配置文件中,也可以用在代码中。在Spring配置文件中,SpEL表达式可以用来设置Bean的属性值,或者用来执行一些条件判断和循环操作。
Spring系列第39篇:强大的Spel表达式(1)
2401_84049088的博客
04-04 1118
这里是小编拿到的学习资源,其中包括“中高级Java开发面试高频考点题笔记300道.pdf”和“Java核心知识体系笔记.pdf”文件分享,内容丰富,
SpEl表达式
混合动力火锅的博客
07-21 539
格式:#{...}    类似于EL表达式 可以引用其他bean,bean的属性,类的静态成员,支持运算符等等 在引用类的静态成员时格式:#{T(类).静态成员},在写字符串时格式:#{'字符串'} 例: public class Car { private String name; private int price; private double tyreLong;
Spel表达式介绍
qq_62612520的博客
02-26 482
Spel表达式是什么?Spring表达式语言(简称SpEl,)是一个支持查询和操作运行时对象导航图功能的强大的表达式语言. 它的语法类似于传统EL,但提供额外的功能,最出色的就是函数调用和简单字符串的模板函数。简单来说就是可以帮助我们简化开发,减少一些逻辑、配置的编写。表达式语言给静态Java语言增加了动态功能。SpEL是单独模块,只依赖于core模块,不依赖于其他模块,可以单独使用。什么时候可以用到SpEL表达式?@Value注解可以通过的形式来获取application当中的配置,使用。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值