জাভা কোডে ব্যবহারকারী কর্তৃপক্ষ বা অনুমতি কীভাবে চেক করবেন? উদাহরণস্বরূপ - আমি ভূমিকার উপর নির্ভর করে ব্যবহারকারীর জন্য বোতামটি প্রদর্শন করতে বা প্রদর্শন করতে চাই। এখানে টীকা রয়েছে:
@PreAuthorize("hasRole('ROLE_USER')")এটি জাভা কোডে কীভাবে তৈরি করবেন? কিছুটা এইরকম :
if(somethingHere.hasRole("ROLE_MANAGER")) {
layout.addComponent(new Button("Edit users"));
}উত্তর:
স্প্রিং সিকিউরিটি 3.0 এর এপিআই রয়েছে
SecurityContextHolderAwareRequestWrapper.isUserInRole(String role)আপনি রাবারটি ব্যবহারের আগে আপনাকে ইনজেক্ট করতে হবে।
আপনি HTTPServletRequest অবজেক্টের isUserInRole পদ্ধতি ব্যবহার করতে পারেন।
কিছুটা এইরকম:
public String createForm(HttpSession session, HttpServletRequest request, ModelMap modelMap) {
if (request.isUserInRole("ROLE_ADMIN")) {
// code here
}
}((ServletRequestAttributes)RequestContextHolder.getRequestAttributes()).getRequest()অনুরোধ পেতে কি ? :)
ইউজারডেটেল থেকে কর্তৃত্ব সন্ধান করতে একটি লুপ ব্যবহার না করে আপনি এটি করতে পারেন:
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
boolean authorized = authorities.contains(new SimpleGrantedAuthority("ROLE_ADMIN"));আপনি সুরক্ষা প্রসঙ্গে পুনরুদ্ধার করতে পারেন এবং তারপরে এটি ব্যবহার করতে পারেন:
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContext;
import org.springframework.security.core.context.SecurityContextHolder;
protected boolean hasRole(String role) {
// get security context from thread local
SecurityContext context = SecurityContextHolder.getContext();
if (context == null)
return false;
Authentication authentication = context.getAuthentication();
if (authentication == null)
return false;
for (GrantedAuthority auth : authentication.getAuthorities()) {
if (role.equals(auth.getAuthority()))
return true;
}
return false;
}SecurityContextHolder.getContext()কখনই নয় NULL, ডক্স পরীক্ষা করুন। সুতরাং আপনি প্রসঙ্গ সন্ধান করা এড়াতে পারেন NULL।
আপনি নীচে হিসাবে একটি হ্যাসরোল () পদ্ধতি প্রয়োগ করতে পারেন - (এটি অন্যান্য সংস্করণ সম্পর্কে নিশ্চিত না স্প্রিং সুরক্ষা 3.0.x এ পরীক্ষা করা হয়))
protected final boolean hasRole(String role) {
boolean hasRole = false;
UserDetails userDetails = getUserDetails();
if (userDetails != null) {
Collection<GrantedAuthority> authorities = userDetails.getAuthorities();
if (isRolePresent(authorities, role)) {
hasRole = true;
}
}
return hasRole;
}
/**
* Get info about currently logged in user
* @return UserDetails if found in the context, null otherwise
*/
protected UserDetails getUserDetails() {
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
UserDetails userDetails = null;
if (principal instanceof UserDetails) {
userDetails = (UserDetails) principal;
}
return userDetails;
}
/**
* Check if a role is present in the authorities of current user
* @param authorities all authorities assigned to current user
* @param role required authority
* @return true if role is present in list of authorities assigned to current user, false otherwise
*/
private boolean isRolePresent(Collection<GrantedAuthority> authorities, String role) {
boolean isRolePresent = false;
for (GrantedAuthority grantedAuthority : authorities) {
isRolePresent = grantedAuthority.getAuthority().equals(role);
if (isRolePresent) break;
}
return isRolePresent;
}SecurityContextHolder.getContext().getAuthentication()পুনরুদ্ধার করতে পারেন null। আপনি কিছু চেক যোগ করতে পারেন?
আমি এটি ব্যবহার করছি:
@RequestMapping(method = RequestMethod.GET)
public void welcome(SecurityContextHolderAwareRequestWrapper request) {
boolean b = request.isUserInRole("ROLE_ADMIN");
System.out.println("ROLE_ADMIN=" + b);
boolean c = request.isUserInRole("ROLE_USER");
System.out.println("ROLE_USER=" + c);
}আপনি কর্তৃপক্ষের ক্লাস থেকে কিছু সহায়তা পেতে পারেন । ওয়ান-লাইনার হিসাবে ভূমিকা চেক করা:
if (AuthorityUtils.authorityListToSet(SecurityContextHolder.getContext().getAuthentication().getAuthorities()).contains("ROLE_MANAGER")) {
/* ... */
}ক্যাভ্যাট: এটি ভূমিকা শ্রেণিবিন্যাস পরীক্ষা করে না, যদি এর উপস্থিত থাকে।
আপনার পরিষেবা স্তরে যখন আপনি HTTP অনুরোধের রেফারেন্স থেকে ওয়েব স্তরের সাথে একটি মিলিত পরিচয় দিতে চান না তখন জোসেকের উত্তরটি ব্যবহার করা যাবে না। আপনি যদি পরিষেবা স্তরে থাকাকালীন ভূমিকাগুলি সমাধান করার দিকে নজর রাখেন তবে গোপীর উত্তরটি যাওয়ার উপায়।
যাইহোক, এটি কিছুটা দীর্ঘ বাতাসে। কর্তৃপক্ষগুলি সরাসরি প্রমাণীকরণ থেকে অ্যাক্সেস করা যায়। অতএব, আপনি যদি ধরে নিতে পারেন যে আপনার কোনও ব্যবহারকারী লগ ইন করেছেন, নিম্নলিখিতটি এটি করে:
/**
* @return true if the user has one of the specified roles.
*/
protected boolean hasRole(String[] roles) {
boolean result = false;
for (GrantedAuthority authority : SecurityContextHolder.getContext().getAuthentication().getAuthorities()) {
String userRole = authority.getAuthority();
for (String role : roles) {
if (role.equals(userRole)) {
result = true;
break;
}
}
if (result) {
break;
}
}
return result;
}সর্বাধিক উত্তরগুলি কিছু পয়েন্ট অনুপস্থিত:
ভূমিকা এবং কর্তৃত্ব বসন্তে একই জিনিস নয়। আরও বিশদ জন্য এখানে দেখুন।
ভূমিকার নামগুলি rolePrefix+ এর সমান authority।
ডিফল্ট ভূমিকা উপসর্গ ROLE_, এটি কনফিগারযোগ্য। এখানে দেখুন ।
অতএব, একটি যথাযথ ভূমিকা চেকটি কনফিগার করা থাকলে ভূমিকা উপসর্গটিকে সম্মান করা দরকার।
দুর্ভাগ্যক্রমে, স্প্রিংয়ের ভূমিকা উপসর্গ কাস্টমাইজেশনটি কিছুটা হ্যাকি, অনেক স্থানে ডিফল্ট উপসর্গটি ROLE_হার্ডকোডযুক্ত, তবে GrantedAuthorityDefaultsএটির পাশাপাশি, বসন্তের প্রেক্ষাপটে একটি শিমের প্রকারের পরীক্ষা করা হয় এবং এটি উপস্থিত থাকলে কাস্টম রোলটি উপসর্গ করে তোলে সম্মানিত হয়।
এই সমস্ত তথ্য একত্রিত করা, আরও ভাল ভূমিকা চেকার বাস্তবায়ন এরকম কিছু হবে:
@Component
public class RoleChecker {
@Autowired(required = false)
private GrantedAuthorityDefaults grantedAuthorityDefaults;
public boolean hasRole(String role) {
String rolePrefix = grantedAuthorityDefaults != null ? grantedAuthorityDefaults.getRolePrefix() : "ROLE_";
return Optional.ofNullable(SecurityContextHolder.getContext().getAuthentication())
.map(Authentication::getAuthorities)
.map(Collection::stream)
.orElse(Stream.empty())
.map(GrantedAuthority::getAuthority)
.map(authority -> rolePrefix + authority)
.anyMatch(role::equals);
}
}আশ্চর্যজনকভাবে যথেষ্ট, আমি মনে করি না যে এই সমস্যার কোনও প্রমিত সমাধান আছে, কারণ বসন্ত-সুরক্ষা অ্যাক্সেস নিয়ন্ত্রণটি জাভা ভিত্তিক নয়, এক্সপ্রেশন ভিত্তিক। আপনি সেখানে তারা করছেন এমন কিছু পুনরায় ব্যবহার করতে পারবেন কিনা তা দেখতে আপনি ডিফল্টমেথডসিকিউরিটি এক্সপ্রেসন হ্যান্ডলারের সোর্স কোডটি পরীক্ষা করতে পারেন
আরও বেশি দেরি না হলে কখনই না, আমাকে আমার 2 সেন্ট মূল্য রাখুন।
জেএসএফ বিশ্বে, আমার পরিচালিত শিমের মধ্যে, আমি নিম্নলিখিতগুলি করেছি:
HttpServletRequest req = (HttpServletRequest) FacesContext.getCurrentInstance().getExternalContext().getRequest();
SecurityContextHolderAwareRequestWrapper sc = new SecurityContextHolderAwareRequestWrapper(req, "");উপরে উল্লিখিত হিসাবে, আমার বোধগম্যতা হ'ল এটি অনুসরণ করা দীর্ঘ বাঁকানো পথে করা যেতে পারে:
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
UserDetails userDetails = null;
if (principal instanceof UserDetails) {
userDetails = (UserDetails) principal;
Collection authorities = userDetails.getAuthorities();
}এটি অন্য প্রান্ত থেকে প্রশ্নে আসার মতো, তবে আমি ভেবেছিলাম যে এটি খুঁজে পেতে আমি সত্যিই ইন্টারনেটে খনন করতে হয়েছিল as
কীভাবে ভূমিকাগুলি যাচাই করা যায় তা সম্পর্কে প্রচুর স্টাফ রয়েছে তবে আপনি যখন হ'স রোল বলবেন তখন আসলে আপনি যা যাচাই করছেন তা খুব বেশি বলছেন না ("ব্লাহ")
হাসরোল বর্তমানে অনুমোদনপ্রাপ্ত অধ্যক্ষের জন্য অনুমোদিত কর্তৃপক্ষগুলি পরীক্ষা করে
সুতরাং যখন আপনি রোল ("ব্লাহ") দেখতে পাচ্ছেন তার সত্যিকার অর্থেই হ'লঅ্যাক্সার্টিটি ("ব্লাহ") ।
আমি দেখেছি এমন ক্ষেত্রে, আপনি এমন একটি শ্রেণীর সাথে এটি করেন যা ব্যবহারকারীর বিবরণগুলি কার্যকর করে যা getAuthorities নামে একটি পদ্ধতি নির্ধারণ করে। এতে আপনি মূলত কিছু যুক্ত করবেনnew SimpleGrantedAuthority("some name") কিছু যুক্তির উপর ভিত্তি করে একটি তালিকায় কিছু যুক্ত করবেন। এই তালিকার নামগুলি হ'রোল স্টেটমেন্ট দ্বারা পরীক্ষা করা জিনিস।
এই প্রসঙ্গে আমি অনুমান করি যে ইউজারডিটেলস অবজেক্টটি বর্তমানে অনুমোদিত অধ্যক্ষ। কিছু জাদু রয়েছে যা প্রমাণীকরণ সরবরাহকারী এবং এর আশেপাশে ঘটে এবং বিশেষত প্রমাণীকরণ-পরিচালক যা এটি ঘটায় happen
hasRole("bla")এটি এখন সমান hasAuthority("ROLE_bla")।
@ গৌকি উত্তরটি সবচেয়ে ভাল!
কীভাবে বসন্ত এটি সত্যিই করে তার একটি টিপ।
নামের একটি শ্রেণি রয়েছে SecurityContextHolderAwareRequestWrapperযা প্রয়োগ করেServletRequestWrapper ক্লাস ।
SecurityContextHolderAwareRequestWrapperওভাররাইড isUserInRoleএবং সার্চ ব্যবহারকারীAuthentication যদি ব্যবহারকারী একটি ভূমিকা আছে কি না (যা স্প্রিং দ্বারা পরিচালিত হয়) খুঁজে।
SecurityContextHolderAwareRequestWrapper কোডটি হ'ল:
@Override
public boolean isUserInRole(String role) {
return isGranted(role);
}
private boolean isGranted(String role) {
Authentication auth = getAuthentication();
if( rolePrefix != null ) {
role = rolePrefix + role;
}
if ((auth == null) || (auth.getPrincipal() == null)) {
return false;
}
Collection<? extends GrantedAuthority> authorities = auth.getAuthorities();
if (authorities == null) {
return false;
}
//This is the loop which do actual search
for (GrantedAuthority grantedAuthority : authorities) {
if (role.equals(grantedAuthority.getAuthority())) {
return true;
}
}
return false;
}নীচে এই দুটি টীকা সমান, "hasRole" স্বয়ংক্রিয়ভাবে "ROLE_" উপসর্গ যুক্ত করবে। আপনার সঠিক টিকা আছে কিনা তা নিশ্চিত করুন। এই ভূমিকাটি ইউজারডেটেলস সার্ভিস # লোডউজারবিউসারনেমে সেট করা আছে।
@PreAuthorize("hasAuthority('ROLE_user')")
@PreAuthorize("hasRole('user')")তারপরে, আপনি জাভা কোডে ভূমিকা পেতে পারেন।
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if(authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_user"))){
System.out.println("user role2");
}আমাদের প্রকল্পে, আমরা একটি ভূমিকা শ্রেণিবিন্যাস ব্যবহার করছি, যদিও উপরের উত্তরগুলির বেশিরভাগটি কেবল নির্দিষ্ট ভূমিকার জন্য যাচাই করা লক্ষ্য করে, কেবলমাত্র প্রদত্ত ভূমিকার জন্য যাচাই করবে, তবে সেই ভূমিকা এবং শ্রেণিবিন্যাসের জন্য নয়।
এর সমাধান:
@Component
public class SpringRoleEvaluator {
@Resource(name="roleHierarchy")
private RoleHierarchy roleHierarchy;
public boolean hasRole(String role) {
UserDetails dt = AuthenticationUtils.getSessionUserDetails();
for (GrantedAuthority auth: roleHierarchy.getReachableGrantedAuthorities(dt.getAuthorities())) {
if (auth.toString().equals("ROLE_"+role)) {
return true;
}
}
return false;
}RoleHierarchy বসন্ত-সুরক্ষা.এক্সএমএলে মটরশুটি হিসাবে সংজ্ঞায়িত করা হয়।
আপনার ব্যবহারকারীর মডেলটিতে নীচের মতো একটি 'হ্যাশ রোল' পদ্ধতি যুক্ত করুন
public boolean hasRole(String auth) {
for (Role role : roles) {
if (role.getName().equals(auth)) { return true; }
}
return false;
}আমি সাধারণত এটি ব্যবহার করে যাচাই করা ব্যবহারকারীর নীচের মতো ভূমিকা প্রশাসক রয়েছে কিনা তা যাচাই করতে এটি ব্যবহার করি
Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); // This gets the authentication
User authUser = (User) authentication.getPrincipal(); // This gets the logged in user
authUser.hasRole("ROLE_ADMIN") // This returns true or falseনিম্নলিখিত পদ্ধতি ব্যবহার করে ব্যবহারকারীর ভূমিকাগুলি পরীক্ষা করা যেতে পারে:
সিকিউরিটি কনটেক্সটহোল্ডারে কল স্ট্যাটিক পদ্ধতি ব্যবহার করে:
Authentication auth = SecurityContextHolder.getContext().getAuthentication(); if (auth != null && auth.getAuthorities().stream().anyMatch(role -> role.getAuthority().equals("ROLE_NAME"))) { //do something}
HttpServletRequest ব্যবহার করে
@GetMapping("/users")
public String getUsers(HttpServletRequest request) {
if (request.isUserInRole("ROLE_NAME")) {
}জাভা 8 এর সহায়তায় আমার অ্যাপ্রোচ, পাসিং কোমা বিচ্ছিন্ন ভূমিকা আপনাকে সত্য বা মিথ্যা দেবে
public static Boolean hasAnyPermission(String permissions){
Boolean result = false;
if(permissions != null && !permissions.isEmpty()){
String[] rolesArray = permissions.split(",");
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
for (String role : rolesArray) {
boolean hasUserRole = authentication.getAuthorities().stream().anyMatch(r -> r.getAuthority().equals(role));
if (hasUserRole) {
result = true;
break;
}
}
}
return result;
}
SecurityContextHolderAwareRequestWrapperউদাহরণ প্রয়োজন । আপনি কীভাবে এটি গ্রহণ করবেন এবং উত্তরটি নিজেই আরও কিছুটা স্পষ্ট করে তা ব্যাখ্যা করে আপনি এটি উন্নত করতে পারেন।