Обработка AccessDenied с безопасностью уровня метода

Question

У меня есть метод, защищенный с помощью Spring Spring, следующим образом:

@PreAuthorize("hasRole('add_user')")
public void addUser(User user) ;

, и если пользователь без полномочий enoguh пытается вызвать его, возникает исключение accessDenied:

org.springframework.security.access.AccessDeniedException: Access is denied

это то, что ожидается, но вопрос в том, почему определенный access-denied-handler

в файле конфигурации security.xml не работает :

<access-denied-handler error-page="accessDenied"/>

Я имею в виду, что не работает , что когда пользователь с недостаточным разрешением при попытке нажать кнопку addUser, которая вызовет службу addUser (которая доступна только пользователю, имеет это разрешение), AccessDeniedВыдается исключение, и это желаемое поведение, но пользователь не перенаправляется на исключение отказа в доступе, как настроено в xml.

не должен ли пользователь автоматически перенаправляться на доступ к запрещенной странице, когда выдается это исключение, или мне нужно явно определять такое поведение в коде?

, пожалуйста, сообщите.

Я использую Spring Security 3.0.5 с JSF 2.1 и ICEFaces 2

ОБНОВЛЕНИЕ: applicationSecurity.xml:

<beans:beans xmlns="http://www.springframework.org/schema/security"  
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:util="http://www.springframework.org/schema/util"
    xsi:schemaLocation="http://www.springframework.org/schema/beans
          http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
          http://www.springframework.org/schema/security
          http://www.springframework.org/schema/security/spring-security-3.0.4.xsd
          http://www.springframework.org/schema/util
          http://www.springframework.org/schema/util/spring-util-3.1.xsd">


        <!-- Enable @pre, @post spring security method level annotations -->
        <global-method-security pre-post-annotations="enabled" />   


        <http use-expressions="true"  auto-config="true" access-denied-page="/accessDenied">

     <session-management session-fixation-protection="none"/>

        <remember-me  token-validity-seconds="1209600"/>


        <intercept-url pattern="/accessDenied" access="permitAll"/>        
        <intercept-url pattern="/login" access="permitAll"/>
        <intercept-url pattern="/j_spring_security_check" access="permitAll" />


        <intercept-url pattern="/faces/javax.faces.resource/**" access="permitAll" />
        <intercept-url pattern="/xmlhttp/**" access="permitAll" />
        <intercept-url pattern="/resources/**" access="permitAll" />        
        <intercept-url pattern="/scripts/**" access="permitAll" />
        <intercept-url pattern="/images/**" access="permitAll" />
        <intercept-url pattern="/css/**" access="permitAll" />


        <!-- All pages requires authentication (not anonymous user) -->

        <intercept-url pattern="/**" access="isAuthenticated()" />
        <intercept-url pattern="/faces/**" access="isAuthenticated()" />


        <form-login default-target-url="/"   
        always-use-default-target="true"            
            login-processing-url="/j_spring_security_check"         
            login-page="/login"
            authentication-failure-url="/login?login_error=1"                                                               
        />

        <logout logout-url="/logout" logout-success-url="/login" />     
    </http>

    <authentication-manager alias="authenticationManager">          
      <authentication-provider user-service-ref="userDetailsServiceImpl"/>    
    </authentication-manager>


    </beans:beans>

ОБНОВЛЕНИЕ 2 : отладка до исключения:

DEBUG [http-bio-8080-exec-1] (PrePostAnnotationSecurityMetadataSource.java:93) - @org.springframework.security.access.prepost.PreAuthorize(value=hasRole('add_user')) found on specific method: public void com.myapp.service.impl.UserServiceImpl.addUser(com.myapp.domain.User) throws java.lang.Exception,org.springframework.security.access.AccessDeniedException
DEBUG [http-bio-8080-exec-1] (DelegatingMethodSecurityMetadataSource.java:66) - Adding security method [CacheKey[com.myapp.service.impl.UserServiceImpl; public abstract void com.myapp.service.UserService.addUser(com.myapp.domain.User) throws java.lang.Exception,org.springframework.security.access.AccessDeniedException]] with attributes [[authorize: 'hasRole('add_user')', filter: 'null', filterTarget: 'null']]
DEBUG [http-bio-8080-exec-1] (AbstractSecurityInterceptor.java:191) - Secure object: ReflectiveMethodInvocation: public abstract void com.myapp.service.UserService.addUser(com.myapp.domain.User) throws java.lang.Exception,org.springframework.security.access.AccessDeniedException; target is of class [com.myapp.service.impl.UserServiceImpl]; Attributes: [[authorize: 'hasRole('add_user')', filter: 'null', filterTarget: 'null']]
DEBUG [http-bio-8080-exec-1] (AbstractSecurityInterceptor.java:292) - Previously Authenticated: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@c650d918: Principal: org.springframework.security.core.userdetails.User@db344023: Username: user@mycomp.com; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: access_viewUsers; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@fffde5d4: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: E6BBAC0CD4499B1455227DC6035CC882; Granted Authorities: access_viewUsers
DEBUG [http-bio-8080-exec-1] (AffirmativeBased.java:53) - Voter: org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter@1d1e082e, returned: -1
DEBUG [http-bio-8080-exec-1] (AffirmativeBased.java:53) - Voter: org.springframework.security.access.vote.RoleVoter@1eab12f1, returned: 0
DEBUG [http-bio-8080-exec-1] (AffirmativeBased.java:53) - Voter: org.springframework.security.access.vote.AuthenticatedVoter@71689bf1, returned: 0

Answer 1

Согласно документации по безопасности Spring, пользователь атрибута access-denied-page элемента устарел в Spring 3.0 и выше.

В нашем приложении мы делаем следующее:

1. Создаем пользовательский обработчик запрещенного доступа, расширяя AccessDeniedHandlerImpl фреймворка Spring Security.
2. Вызовите метод setErrorPage, передав имя контроллера, который будет отображать вашу страницу отказа в доступе
3. В нашем случае мы блокируем учетную запись пользователя в пользовательском обработчике - нет веской причиныдля любого пользователя, чтобы когда-либо получить исключение отказа в доступе, если он не делает что-то, что он не должен.Мы также регистрируем, к чему они пытались получить доступ, и т. Д.

4. Вызовите super.handle(_request, _response, _exception); в конце обработчика.Spring передает управление контроллеру, указанному в # 2 выше.

   public class AccessDeniedHandlerApp extends AccessDeniedHandlerImpl {
       private static Logger logger = Logger.getLogger(AccessDeniedHandlerApp.class);
   
       private static final String LOG_TEMPLATE = "AccessDeniedHandlerApp:  User attempted to access a resource for which they do not have permission.  User %s attempted to access %s";
   
        @Override
        public void handle(HttpServletRequest _request, HttpServletResponse _response, AccessDeniedException _exception) throws IOException, ServletException {
            setErrorPage("/securityAccessDenied");  // this is a standard Spring MVC Controller
   
            // any time a user tries to access a part of the application that they do not have rights to lock their account
            <custom code to lock the account>
            super.handle(_request, _response, _exception);
   }
   

   }

Вот мой XML: AccessDeniedHandlerApp extends 'AccessDeniedHandlerImpl`

<http auto-config='true'>
    <intercept-url pattern="/views/**" access="ROLE_USER" />
    <form-login login-page="/Login.jsp" authentication-success-handler-ref="loginSuccessFilter"
                authentication-failure-handler-ref="loginFailureFilter" />
    <logout logout-success-url="/home" />
    <access-denied-handler ref="customAccessDeniedHandler"/>
</http>

<beans:bean id="customAccessDeniedHandler" class="org.demo.security.AccessDeniedHandlerApp"/>

Вот мой контроллер отказа в доступе - я должен был опубликовать это раньше - извините за это.Чтобы открыть страницу с отказом в доступе, мне пришлось использовать перенаправление:

@Controller
public class AccessDeniedController {
    private static Logger logger = Logger.getLogger(AccessDeniedController.class);

    @RequestMapping(value = "/securityAccessDenied")
    public String processAccessDeniedException(){
        logger.info("Access Denied Handler");
        return "redirect:/securityAccessDeniedView";
    }

    @RequestMapping(value = "/securityAccessDeniedView")
    public String displayAccessDeniedView(){
        logger.info("Access Denied View");
        return "/SecurityAccessDenied";
    }

Пожалуйста, дайте мне знать, если это не решит проблему, и я продолжу копать - я просто проверил это сновалокально здесь, и это должно сделать свое дело.}

Answer 2

Я столкнулся с той же самой проблемой и отправил другой вопрос, касающийся той же самой проблемы. После нескольких часов копания я наконец нашел решение своей проблемы. Я знаю, что этому вопросу более 2 лет, но подумал, что обновлю его информацией, если она будет полезна кому-то другому.

В двух словах, я заметил, что SimpleMappingExceptionResolver обрабатывает исключение и разрешает его с отображением по умолчанию. Следовательно, не было исключений, чтобы поднять стек до ExceptionTranslationFilter, который перенаправил бы на access-denied-handler.

См. Spring Security, игнорирующий обработчик отказа в доступе с методом уровня безопасности для получения дополнительной информации.

Answer 3

Spring Security перенаправляет на страницу отказа в доступе только тогда, когда у пользователя нет прав доступа к ресурсу.Это происходит, когда пользователь аутентифицирован, но не имеет разрешенных ролей.

Но когда проблема не в авторизации, а в аутентификации, Spring Security перенаправляет на страницу входа (чтобы позволить пользователю аутентифицировать себя).), а не на страницу запрещенного доступа.

Поскольку в правилах есть проверка для isAuthenticated (), вы будете перенаправлены не на страницу запрещенного доступа, а на страницу входа.

Надеюсь, это поможет.