在上下文中没有注册的 Bean 解析器来解析对 Bean 的访问

java spring spring-security spring-el

2022-09-01 23:17:10

我正在尝试使用Java配置实现方法安全性，但我收到一个错误：-

org.springframework.expression.spel.SpelEvaluationException: EL1057E:(pos 1): No bean resolver registered in the context to resolve access to bean 'appPermissionEvaluator'

方法是：-

@PreAuthorize("@appPermissionEvaluator.hasSystemPermission()")
public String something() {
    ...
}

Config 类定义是（MethodSecurityConfig.java）：-

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {

    @Bean
    public AppPermissionEvaluator appPermissionEvaluator() {
        return new AppPermissionEvaluator();
    }

    @Override
    protected MethodSecurityExpressionHandler createExpressionHandler() {
        DefaultMethodSecurityExpressionHandler expressionHandler =
                new DefaultMethodSecurityExpressionHandler();
        expressionHandler.setPermissionEvaluator(appPermissionEvaluator());
        return expressionHandler;
    }

    ...
}

我检查了我能够在同一类中自动连接bean，我也发现默认的hasPermission（）方法正在工作，因为我已经实现了它们，唯一的问题是从SpEL读取bean。我不确定出了什么问题。任何指针？

我正在使用Spring 4.1.5和Spring Security 3.2.7

答案 1

您需要确保在 DefaultMethodSecurityExpressionHandler 上设置 ApplicationContext。例如：

@Autowired
private ApplicationContext context;

// ...

@Override
protected MethodSecurityExpressionHandler expressionHandler() {
    DefaultMethodSecurityExpressionHandler expressionHandler =
            new DefaultMethodSecurityExpressionHandler();
    expressionHandler.setPermissionEvaluator(appPermissionEvaluator());

    // !!!
    expressionHandler.setApplicationContext(context);

    return expressionHandler;
}

或者，更简洁地说，如果您将单个 PermissionEvaluator 定义为 Bean，则 Spring Security 将自动选取它（无需覆盖 expressionHandler（））。例如：

@Bean
public PermissionEvaluator appPermissionEvaluator() {
    ...
}

答案 2