Spring Security mit Pfadvariablen

Question

Ich möchte Sicherheitsregeln basierend auf benutzerdefinierten URL-Parametern (Pfadvariablen) erstellen. In Beispiel. Nehmen wir an, ich möchte einen Benutzer haben, der Administratorzugriff für Ressourcen namens Brand1 und Brand2 hat, aber keinen Zugriff auf die Ressource Brand3 hat. Wir können Ressourcen mit folgenden Links bearbeiten.

http://myapp/brand/edit/1 
http://myapp/brand/edit/2 
http://myapp/brand/edit/3 

jetzt in Sicherheitskontext würde Ich mag so etwas wie dieses

<security:intercept-url pattern="/brand/edit/{brandId}" 
      access="hasRole('ROLE_ADMIN') or 
        @authorizationService.hasBrandPermission(
        #brandId, principal.username)"/> 

Das einzige, was ich Benutzername ist zu tun bekommen. BrandId ist immer null. Ich habe das mit @PreAuthorize gemacht und es hat funktioniert, aber jetzt möchte ich die Sicherheitskonfiguration in einer einzelnen XML-Datei zentralisieren, anstatt sie auf alle Controller-Klassen zu verteilen. Wenn ich @PreAuthorize verwendete, hat mich mein access-densumed-handler nicht auf die verweigerte Seite weitergeleitet, sondern hat eine hässliche AccessDeniedException inead angezeigt.

Ich würde wirklich irgendwelche Ideen aprecieate.

Answer 1

können Sie versuchen, regulären Ausdruck zu verwenden.

Sie das Attribut hinzufügen müssen Pfad-type = "regex" in Ihrem http Elemente oder Anfrage-Matcher = "regex" wenn Ihre Feder Sicherheit mit 3.1

die Dokumentation für weitere Details zu sehen

Answer 2

ändern der Spring Security Version in Ihrem pom.xml-4.1.0.RELEASE:

<spring-security.version>4.1.0.RELEASE</spring-security.version> 

<dependency> 
    <groupId>org.springframework.security</groupId> 
    <artifactId>spring-security-web</artifactId> 
    <version>${spring-security.version}</version> 
</dependency> 

Sie müssen möglicherweise reinigen Dein Maven-Projekt danach.

(Ich weiß, es ist eine alte Frage. Nichtsdestoweniger ich konfrontiert dasselbe Problem 3 Jahre später).