14. Spring 数据集成
Spring Security 提供了 Spring Data 集成,该集成允许在查询中引用当前用户。将用户包括在查询中以支持分页结果不仅有用,而且有必要,因为事后过滤结果将无法扩展。
14.1 Spring 数据和 Spring 安全性配置
要使用此支持,请添加org.springframework.security:spring-security-data
依赖项并提供SecurityEvaluationContextExtension
类型的 Bean。在 Java 配置中,这看起来像:
@Bean
public SecurityEvaluationContextExtension securityEvaluationContextExtension() {
return new SecurityEvaluationContextExtension();
}
在 XML 配置中,这看起来像:
<bean class="org.springframework.security.data.repository.query.SecurityEvaluationContextExtension"/>
14.2 @Query 中的安全表达式
现在,可以在查询中使用 Spring Security。例如:
@Repository
public interface MessageRepository extends PagingAndSortingRepository<Message,Long> {
@Query("select m from Message m where m.to.id = ?#{ principal?.id }")
Page<Message> findInbox(Pageable pageable);
}
这将检查Authentication.getPrincipal().getId()
是否等于Message
的接收者。请注意,此示例假设您已将主体自定义为具有 id 属性的 Object。通过公开SecurityEvaluationContextExtension
bean,所有通用安全性表达在查询中都可用。