spring security - Как изменить возвращаемый объект @PostAuthorize в пользовательском методе SPEL?

Question

Я хочу фильтровать коллекцию, возвращаемую методом службы. Эта фильтрация включала бы вызов другого метода службы и, следовательно, я не собираюсь для @PostFilter, так как он вызывает выражение SPEL внутри аннотации для каждого элемента коллекции. Вместо этого я использую @PostAuthorize следующим образом:

@PostAuthorize("canAssignToUser(returnObject)") 
List<UserInfo> getUsers(int userId); 

В canAssignToUser, я стараюсь, чтобы удалить пользователей из списка возврата переданного ему. По-видимому, это проблема, и есть некоторые ограничения на изменение возвращаемого списка. Как изменить возвращаемый список из метода с помощью аннотаций на уровне метода и без вызова SPEL для каждого элемента списка.

Answer 1

@PostAuthorize используется для оценки значения boolean, поэтому перехватчик не передает возвращаемое значение в выражение (смотрите here). Каков ваш метод удаления элементов без проверки каждого элемента? (Как @PostFilter делает)

Я думаю, что у вас нет выбора, если вы хотите использовать Spring Security для фильтрации

Answer 2

Вы можете изменить возвращаемый объект, как вам нравится. Несмотря на то, что перехватчик не возвращает объект, который вы передали, он получает уведомление об изменениях объекта. В конце концов объект returnObject изменяется. (Примечание: пользовательский метод безопасности внутри @PostAuthorize может возвращать только логическое значение.) Метод

public class CustomMethodSecurityExpressionRoot extends SecurityExpressionRoot implements MethodSecurityExpressionOperations { 

    public CustomMethodSecurityExpressionRoot(Authentication authentication) { 
     super(authentication); 
    } 

    public boolean canAssignToUser(Object returnObject) { 
     // do modifications to returnObject 
     return true; 
    } 

getUsers() возвращает измененный список после оценки @PostAuthorize("canAssignToUser(returnObject)").