У меня есть приложение Spring MVC, в которое я хочу интегрировать Spring Security (Spring 3.0.x).
web.xml содержит:
<context-param>
<description>Context Configuration locations for Spring XML files</description>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath*:spring/spring-model.xml
classpath*:spring/spring-compiler.xml
classpath*:spring/spring-ui.xml
classpath*:spring/spring-security.xml
</param-value>
</context-param>
<listener>
<description><![CDATA[
Loads the root application context of this web app at startup, use
contextConfigLocation paramters defined above or by default use "/WEB-INF/applicationContext.xml".
- Note that you need to fall back to Spring's ContextLoaderServlet for
- J2EE servers that do not follow the Servlet 2.4 initialization order.
Use WebApplicationContextUtils.getWebApplicationContext(servletContext) to access it anywhere in the web application, outside of the framework.
The root context is the parent of all servlet-specific contexts.
This means that its beans are automatically available in these child contexts,
both for getBean(name) calls and (external) bean references.
]]></description>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<servlet>
<description>Configuration for the Spring MVC webapp servlet</description>
<servlet-name>springmvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath*:spring/spring-mvc.xml</param-value>
</init-param>
</servlet>
<servlet-mapping>
<servlet-name>springmvc</servlet-name>
<url-pattern>/app/*</url-pattern>
</servlet-mapping>
Я хотел бы добавить защиту на основе ролей, чтобы пользователи не могли получить доступ к определенным частям сайта.
например. пользователь должен иметь роль CRICKET_USER для доступа к http://example.com/sports/cricket и роль FOOTBALL_USER для доступа http://example.com/sports/football.
URI в приложении сохраняют эту иерархию, поэтому могут существовать такие ресурсы, как http://example.com/sports/football/leagues/premiership, которые также должны требовать от пользователя роли FOOTBALL_USER.
У меня есть такой контроллер:
@Controller("sportsController")
@RequestMapping("/sports/{sportName}")
public class SportsController {
@RequestMapping("")
public String index(@PathVariable("sportName") Sport sport, Model model) {
model.addAttribute("sport", sport);
return "sports/index";
}
}
Я пытался использовать самый идиоматичный, очевидный способ выполнить это требование, но я не уверен, что я его уже нашел. Я пробовал 4 разных подхода.
@ PreAuthorize аннотация
Я пытался использовать @PreAuthorize("hasRole(#sportName.toUpperCase() + '_USER')") для каждого метода @RequestMapping на этом контроллере (и других контроллерах, которые обрабатывают запросы URI ниже по иерархии. Мне не удалось заставить это работать; нет ошибки, но это не кажется, ничего не делает.
Плохие баллы:
- не работает?
- Аннотация на уровне метода, а не на уровне класса, на
@Controller. Это не очень сухо. Кроме того, существует потенциальная возможность оставить дыру в безопасности, если будет добавлена дополнительная функциональность, и кто-то забудет добавить аннотацию к новому коду.
- Я не могу написать тест для него.
URL-адрес перехвата в цепочке Spring Security
<http use-expressions="true">
<!-- note that the order of these filters are significant -->
<intercept-url pattern="/app/sports/**" access="hasRole(#sportName.toUpperCase() + '_USER')" />
<form-login always-use-default-target="false"
authentication-failure-url="/login/" default-target-url="/"
login-page="/login/" login-processing-url="/app/logincheck"/>
<!-- This action catch the error message and make it available to the view -->
<anonymous/>
<http-basic/>
<access-denied-handler error-page="/app/login/accessdenied"/>
<logout logout-success-url="/login/" logout-url="/app/logout"/>
</http>
Такое ощущение, что оно должно работать, для других разработчиков было бы очевидно, что он делает, но я не добился успеха с таким подходом. Моя единственная неприятность при таком подходе - неспособность написать тест, который будет отмечать проблему, если что-то изменится в будущем.
java.lang.IllegalArgumentException: Failed to evaluate expression 'hasRole(#sportName.toUpper() + '_USER')'
at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:13)
at org.springframework.security.web.access.expression.WebExpressionVoter.vote(WebExpressionVoter.java:34)
...
Caused by:
org.springframework.expression.spel.SpelEvaluationException: EL1011E:(pos 17): Method call: Attempted to call method toUpper() on null context object
at org.springframework.expression.spel.ast.MethodReference.getValueInternal(MethodReference.java:69)
at org.springframework.expression.spel.ast.CompoundExpression.getValueInternal(CompoundExpression.java:57)
Стандартный фильтр в цепочке Spring Security.
public class SportAuthorisationFilter extends GenericFilterBean {
/**
* {@inheritDoc}
*/
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
HttpServletRequest httpRequest = (HttpServletRequest) request;
String pathInfo = httpRequest.getPathInfo();
/* This assumes that the servlet is coming off the /app/ context and sports are served off /sports/ */
if (pathInfo.startsWith("/sports/")) {
String sportName = httpRequest.getPathInfo().split("/")[2];
List<String> roles = SpringSecurityContext.getRoles();
if (!roles.contains(sportName.toUpperCase() + "_USER")) {
throw new AccessDeniedException(SpringSecurityContext.getUsername()
+ "is not permitted to access sport " + sportName);
}
}
chain.doFilter(request, response);
}
}
и
<http use-expressions="true">
<!-- note that the order of these filters are significant -->
<!--
Custom filter for /app/sports/** requests. We wish to restrict access to those resources to users who have the
{SPORTNAME}_USER role.
-->
<custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="sportsAuthFilter"/>
<form-login always-use-default-target="false"
authentication-failure-url="/login/" default-target-url="/"
login-page="/login/" login-processing-url="/app/logincheck"/>
<!-- This action catch the error message and make it available to the view -->
<anonymous/>
<http-basic/>
<access-denied-handler error-page="/app/login/accessdenied"/>
<logout logout-success-url="/login/" logout-url="/app/logout"/>
</http>
<beans:bean id="sportsAuthFilter" class="com.example.web.controller.security.SportsAuthorisationFilter" />
Плюс очков:
Плохие очки:
- Нет тестов.
- Потенциально хрупкий, если изменяется структура URI нашего приложения.
- Не очевидно для следующего парня, который придет, чтобы изменить код.
Проверка в реализации Formatter, используемой @ PathVariable
@Component
public class SportFormatter implements DiscoverableFormatter<Sport> {
@Autowired
private SportService SportService;
public Class<Sport> getTarget() {
return Sport.class;
}
public String print(Sport sport, Locale locale) {
if (sport == null) {
return "";
}
return sport.getName();
}
public Sport parse(String text, Locale locale) throws ParseException {
Sport sport;
if (text == null || text.isEmpty()) {
return new Sport();
}
if (NumberUtils.isNumber(text)) {
sport = sportService.getByPrimaryKey(new Long(text));
} else {
Sport example = new Sport();
example.setName(text);
sport = sportService.findUnique(example);
}
if (sport != null) {
List<String> roles = SpringSecurityContext.getRoles();
if (!roles.contains(sportName.toUpperCase() + "_USER")) {
throw new AccessDeniedException(SpringSecurityContext.getUsername()
+ "is not permitted to access sport " + sportName);
}
}
return sport != null ? sport : new Sport();
}
}
Плюс очков:
Плохие очки:
- Это полагается на каждый аннотированный метод @RequestMapping в контроллерах, имеющих @PathVariable, который извлекает экземпляр Sport?
- тестов нет.
Пожалуйста, укажите, какую часть прекрасного руководства мне не хватает.