首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

spring-security: CglibAopProxy未拦截GlobalMethodSecurityConfiguration的方法调用

Spring Security是一个开源的安全框架,用于为Java应用程序提供身份验证和访问控制功能。它基于Servlet过滤器,可以集成到任何基于Java的Web应用程序中。

CglibAopProxy是Spring框架中的一个代理类,用于在运行时生成动态代理对象。它使用CGLIB(Code Generation Library)库来动态生成子类作为代理类,以实现AOP(面向切面编程)的功能。

在Spring Security中,CglibAopProxy用于实现对被代理对象的方法调用进行拦截和处理。它可以在方法调用之前或之后添加额外的安全验证逻辑,例如检查用户是否有足够的权限来执行该方法。通过使用CglibAopProxy,Spring Security可以实现方法级别的安全性控制。

GlobalMethodSecurityConfiguration是Spring Security提供的一个配置类,用于全局方法级别的安全配置。它可以通过注解(如@Secured、@PreAuthorize、@PostAuthorize)来控制方法的访问权限。然而,当使用CglibAopProxy时,它可能无法拦截GlobalMethodSecurityConfiguration的方法调用。

解决这个问题的一种方式是使用接口代理而不是类代理。Spring Security提供了一个基于接口的代理类,即JdkDynamicAopProxy,它可以正确地拦截和处理GlobalMethodSecurityConfiguration的方法调用。

推荐的腾讯云产品:腾讯云服务器(CVM),提供弹性计算能力,适用于部署和运行各种应用程序。产品介绍链接:https://cloud.tencent.com/product/cvm

请注意,以上回答仅供参考,并不涵盖所有可能的细节和解决方案。在实际应用中,可能需要根据具体情况进行进一步的研究和调整。

页面内容是否对你有帮助?
有帮助
没帮助

相关·内容

静态拦截iOS对象方法调用简易实现

最近出现了几篇关于二进制重排启动优化文章。所有方案中都需要事先统计所有的函数调用情况,并根据函数调用频次来进行代码重排。 这些函数调用中,OC对象方法调用最多。...统计OC对象方法调用可以在运行时通过第三方库比如fishhook来Hook所有objc_msgSend调用来实现,也可以在编译后链接前通过静态插桩方式来实现Hook拦截。...上述两个方法实现起来比较复杂,要么就要了解LLVM,要么就要熟悉目标文件中间字节码以及符号表相关底层知识。...本文所介绍是第三种静态Hook方案,也是依赖于静态库这个前提来实现对objc_msgSend函数进行Hook,从而实现在编译前链接后OC对象方法调用插桩。 这个方案实现原理很简单。...---- 采用本文中所介绍静态Hook方法好处是我们不必Hook所有的OC方法调用,而是可以有选择进行特定对象和类方法调用拦截

1.8K30

Spring AOP不拦截从对象内部调用方法原因

拦截实现原理很简单,就是动态代理,实现AOP机制。当外部调用拦截bean拦截方法时,可以选择在拦截之前或者之后等条件执行拦截方法之外逻辑,比如特殊权限验证,参数修正等操作。   ...这里出现问题就是,如果我们要拦截某个类多个方法,且在该类方法中使用this调用拦截方法时会导致拦截失败。...我们系统中调用就是这个代理类findInforAll方法,而该方法 this.findDataBaseA();this.findDataBaseB();是不会被AOP拦截,因为AOP拦截包名和类名很明显和代理类不一样...,所以这就是为什么内部调用方法无法拦截原因。...虽然这是spring官方推荐避免内部调用idea。 查看了相关资料,得到了一种方法,即在method1内部,通过直接获取当前代理对象方式然后通过代理对象调用method2,这样触发拦截

2.6K10
  • Spring Security 实战干货:基于注解接口角色访问控制

    Spring Security 方法安全 Spring Security 基于注解安全认证是通过在相关方法上进行安全注解标记来实现。...@PreAuthorize 和 @PostAuthorize 侧重于方法调用控制;而 @PreFilter 和 @PostFilter 侧重于数据控制。...4.1 @PreAuthorize 在标记方法调用之前,通过表达式来计算是否可以授权访问。接下来我来总结以下常用表达式。...4.2 @PostAuthorize 在标记方法调用之后,通过表达式来计算是否可以授权访问。该注解是针对 @PreAuthorize 。区别在于先执行方法。而后进行表达式判断。...参考资料 [1] Spring Security 实战干货: https://www.felord.cn/categories/spring-security/ [2] 基于配置接口角色访问控制: https

    1.6K30

    掌握 @transactional 注解@Transactional 注解管理事务实现步骤Spring 注解方式事务实现机制

    属性配置信息,这个代理对象决定该声明@Transactional 目标方法是否由拦截器 TransactionInterceptor 来使用拦截,在 TransactionInterceptor...image Spring AOP 代理有 CglibAopProxy 和 JdkDynamicAopProxy 两种,图 1 是以 CglibAopProxy 为例,对于 CglibAopProxy,需要调用其内部类...这是因为在使用 Spring AOP 代理时,Spring 在调用在图 1 中 TransactionInterceptor 在目标方法执行前后进行拦截之前,DynamicAdvisedInterceptor...(CglibAopProxy 内部类) intercept 方法或 JdkDynamicAopProxy invoke 方法会间接调用 AbstractFallbackTransactionAttributeSource...避免 Spring AOP 调用问题 在 Spring AOP 代理下,只有目标方法由外部调用,目标方法才由 Spring 生成代理对象来管理,这会造成自调用问题。

    87060

    @Transactional 自调用失效问题解析

    一、背景 ”脏脏包“在技术群里问了一个问题:”大家有在项目中遇到这样场景吗 在一个service层重写方法调用一个私有方法。...属性配置信息,这个代理对象决定该声明@Transactional 目标方法是否由拦截器 TransactionInterceptor 来使用拦截,在 TransactionInterceptor...3.1.2 从源码角度 这是因为在使用 Spring AOP 代理时,Spring 在调用 TransactionInterceptor 在目标方法执行前后进行拦截之前,DynamicAdvisedInterceptor...(CglibAopProxy 内部类) intercept 方法或 JdkDynamicAopProxy invoke 方法会间接调用 AbstractFallbackTransactionAttributeSource...在 Spring AOP 代理下,只有目标方法由外部调用,目标方法才由 Spring 生成代理对象来管理,这会造成自调用问题。

    1.1K11

    记录一次Spring事务线上异常

    Spring初始化时,会通过扫描拦截对事务方法进行增强。若目标方法存在事务,Spring就会创建一个Bean对应代理(Proxy)对象,并进行相关事务处理操作。...3 源码解析 顺着 saveUser debug: 看到 CglibAopProxy,事务本质上也是一种特殊切面,在创建过程中,被 CglibAopProxy 代理。...事务处理拦截器是 TransactionInterceptor支撑整个事务功能架构 TransactionInterceptor如何实现事务特性 执行代理类目标方法时,触发invoke()。...就调用父类rollbackOn(): 只有异常类型为 RuntimeException 或 Error,才true =》才触发 completeTransactionAfterThrowing...而案例抛 Exception,又未指定回滚规则,所以触发回滚。 4 修正 将所抛异常类型改成 RuntimeException: 这种修改方法不优雅,毕竟异常有时就是固定死不能修改。

    52910

    SpringSecurity从入门到实战之Filter过滤器回顾

    /reference/6.0/index.html 中文文档:https://springdoc.cn/spring-security/index.html 过滤器回顾 Spring Security...以上是过滤链使用,当所有的filter都走完后最终会发送请求到达Servlet 过滤器 Filter: 1.必须实现 Filter 接口 2.过滤器在访问 Web 资源可以对请求进行拦截,并对请求进行预处理和后处理操作...3.如,强制登录过滤器,访问 web 资源时先对请求进行登录检查,已登录可以往后访问,登录重定向回登录页。...过滤器链 FilterChain: 1.在对一个 web 资源进行拦截处理时多个 Filter 和 web 资源组成一个 FilterChain 过滤器链。...2.FilterChain 中 doFilter() 方法非常重要,用于让 Filter 链上的当前过滤器放行,使请求或响应进入下一 Filter 或 web 资源。

    15510

    Spring AOP 创建代理源码解析

    expose-proxy属性应用,把代理暴露处理 // 目标方法内部自我调用将无法实施切面中增强,所以在这里需要把代理暴露出去 if (this.advised.exposeProxy...).invoke(this); } } 在该方法中完成了增强植入,主要逻辑就是,每个方法都会有一个拦截器链,在 AOP 中我们称之为增强,然后循环执行每个拦截器链,当执行完所有的拦截器后,才会执行目标方法...return callbacks; } 我们知道使用 CGLIB 来实现代理功能时候,当代理执行时候,会调用 intercept 方法,和 JKD 动态代理 invoke 方法类似;Spring...中 CGLIB intercept 方法如下,该方法在 DynamicAdvisedInterceptor 中,从上面的代理知道,使用它来封装拦截器,它是 CglibAopProxy 一个子类:...proceed 方法时,和 JDK 处理是一样,只不过当执行完所有的拦截器后,执行目标方法调用是 CglibMethodInvocation invokeJoinpoint 来执行而已;

    1.2K10

    AOP总结目录--- Spring源码从入门到精通(二十四)

    上篇文章说到了aop连接器链调用,前面递归调用四个拦截器,每次都会调用invoke方法,有一个index参数放拦截器索引,当判断为最后一个拦截时候,return跳出循环。...2)、finishBeanFactoryInitialization()方法初始化剩下单实例bean。A、创建业务逻辑组件和切面组件。...B、AnnotationAwareAspectJAutoProxyCreate拦截组件创建过程。...2)、CglibAopProxy.intercept()方法拦截。过程A、等到目标方法拦截器链MethodInterceptor(增强器包装成拦截器)。...B、利用拦截器链式机制,依次进入每一个拦截器进行执行。C、效果,前置通知->目标方法->后置通知->返回通知。如果目标方法抛出异常,则是前置通知->目标方法->后置通知->异常通知。

    22940

    徒手撸框架--实现Aop

    Spirng 动态将这些方法拦截器织入到对应方法。 生成动态代理代理。 提供调用,在使用时候,调用调用就是代理方法。也就是已经织入了增强方法方法。...invocation 描述就是一个方法调用。注意这里指的是“方法调用”,而不是调用这个动作。...interceptor 大家最熟悉拦截器,拦截拦截目标就是 invcation 包里面的调用。 advisor 这个包里对象,都是用来描述切面的数据结构。...回顾上面的讲解,我们实现拦击都会执行 im.proceed() 实际上又会调用这个方法。实现了一个递归调用,直到执行完所有的拦截器。...所以我们,使用了一个list来保存所有的拦截器。所以我们需要递归去增加拦截器。当处理完了所有的拦截器之后,才会真正调用调用被增强方法。我们可以认为,前文所述动态织入代码就发生在这里。

    34920

    徒手撸框架---实现 Aop

    Spirng 动态将这些方法拦截器织入到对应方法。 生成动态代理代理。 提供调用,在使用时候,调用调用就是代理方法。也就是已经织入了增强方法方法。...invocation 描述就是一个方法调用。注意这里指的是“方法调用”,而不是调用这个动作。...interceptor 大家最熟悉拦截器,拦截拦截目标就是 invcation 包里面的调用。 advisor 这个包里对象,都是用来描述切面的数据结构。...回顾上面的讲解,我们实现拦击都会执行 im.proceed() 实际上又会调用这个方法。实现了一个递归调用,直到执行完所有的拦截器。...所以我们,使用了一个list来保存所有的拦截器。所以我们需要递归去增加拦截器。当处理完了所有的拦截器之后,才会真正调用调用被增强方法。我们可以认为,前文所述动态织入代码就发生在这里。

    978120

    获取拦截器链MethodInterceptor---Spring源码从入门到精通(二十二)

    返回缓存中存在 bean: 创建AOP代理---Spring源码从入门到精通(二十一) 这篇文章主要介绍methodInterceptor,返回拦截器(吧增强器包装成拦截过程): 一、目标方法执行...(指切面类切入MathCalculation方法): 容器中保存了组件代理对象(cglib增强后对象),这个对象保存了详细信息(比如增强器,目标对象等) 1、首先进入CglibAopProxy.intercept...方法拦截目标方法执行 2、获取将要执行目标方法 拦截器链getInterceptorAndDynamicInyerceptionAdvice()。...拦截器链(其实就是每一个通知方法,又被包装为拦截器,利用MethodInterceptor机制) 4、如果有拦截器链,吧需要执行目标对象,目标方法拦截器链等信息传入创建一个CglibMethodInvocation...对象,并调用proceed()方法

    47110

    阿里P8面试被问:Spring AOP Proxy创建出来到底是个啥?

    这个类实际上是AdminUserService一个子类。它会重写所有public和protected方法,并在内部将调用委托给原始AdminUserService实例。...修正 既然是因为无法直接访问被拦截成员变量,那就换个方式,在UserService里写个getUser()方法,从内部访问获取。...createProxyClassAndInstance 创建代理类后,会调用setCallbacks来设置拦截后需要注入代码: protected Object createProxyClassAndInstance...,会被Spring拦截,从而进入此intercept(),并在此方法中获取被代理原始对象。...在原始对象中,类属性是被实例化过且存在。因此代理类可通过方法拦截获取被代理对象实例属性。 你改变一个属性,也可让产生代理对象属性值不为null。

    56840

    【小家Spring】详解Spring AOP底层代理JdkDynamicAopProxy和ObjenesisCglibAopProxy源码分析(介绍CGLIB使用中坑)

    //proxy:指的是我们所代理那个真实对象;method:指的是我们所代理那个真实对象某个方法Method对象args:指的是调用那个真实对象方法参数。...(method, targetClass); if (chain.isEmpty()) { // 若拦截器为空,那就直接调用目标方法了 // 对参数进行适配:主要处理一些数组类型参数...public得 就直接调用目标方法(不拦截) if (chain.isEmpty() && Modifier.isPublic(method.getModifiers())) { Object...B继承自A同时又有对A引用,B会重写所有的A类里面的非Final、非private方法,从而可以在目标方法调用前后进行对应增强了。...因此它也只能拿到null 而我们调用getAge()方法它被代理过,所以他能拿到正确值:10。 备注:若采用JDK动态代理不回存在此种现象,因为接口代理都是方法

    3.1K52

    Spring系列九:Spring 事务

    其本质是通过 AOP 功能,对方法前后进行拦截,将事务处理功能编织到拦截方法中,也就是在目标方法开始之前启动一个事务,在执行完目标方法之后根据执行情况提交或者回滚事务 优点是不需要在业务逻辑代码中掺杂事务管理代码...在执行目标方法时进行事务增强操作:当通过代理对象调用Bean方法时候,会触发对应AOP增强拦截器,声明式事务是一种环绕增强,对应接口为MethodInterceptor,事务增强对该接口实现为TransactionInterceptor...,类图如下: ​ 编辑 图片来源网易技术专栏 事务拦截器TransactionInterceptor在invoke方法中,通过调用父类TransactionAspectSupportinvokeWithinTransaction...是因为在Spring AOP 代理时,TransactionInterceptor (事务拦截器)在目标方法执行前后进行拦截,DynamicAdvisedInterceptor(CglibAopProxy...4、同一个类中方法调用,导致@Transactional失效开发中避免不了会对同一个类里面的方法调用,比如有一个类Test,它一个方法A,A再调用本类方法B(不论方法B是用public还是private

    1.9K20

    《Spring设计思想》AOP实现原理(基于JDK和基于CGLIB)

    //如果没有拦截链,则直接调用Joinpoint连接点方法。...JdkDynamicAopProxy 和CglibAopProxy只是创建代理方式两种方式而已,实际上我们为方法调用添加各种Advice执行逻辑都是统一。...细心你会发现,在拦截器串中,每个拦截器最后都会调用MethodInvocationproceed()方法。...如果按照简单拦截执行串来执行的话,MethodInvocationproceed()方法至少要执行N次(N表示拦截器Interceptor个数),因为每个拦截器都会调用一次proceed()方法...,但是你也看到,对于我们每一个方法调用,都会经过非常复杂层层Advice拦截判断,是否需要拦截处理,这个开销是非常大

    48940
    领券