@Secured не работает в контроллере, но intercept-url вроде бы работает нормально - PullRequest
Новая
       14

@Secured не работает в контроллере, но intercept-url вроде бы работает нормально

14 голосов
/ 11 июля 2011

Не похоже, что @Secured для методов в моем @Controller читаются.Когда используется фильтрация безопасности, основанная на sec: intercept-url, похоже, это работает нормально.Следующий код приводит к тому, что Spring Security предоставляет мне эту запись в журнале:

DEBUG: org.springframework.security.web.access.intercept.FilterSecurityInterceptor - Открытый объект - проверка подлинности не предпринималась

web.xml

contextConfigLocation /WEB-INF/spring/root-context.xml 

<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!-- Processes application requests -->
<servlet>
    <servlet-name>appServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/spring/appServlet/servlet-context.xml
        </param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

<!-- Filter security -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

servlet-context.xml содержит конфигурациюviewResolvers и все сортировки.Эта конфигурация управляется аннотациями.

root-context.xml 

    <sec:global-method-security secured-annotations="enabled" />

<sec:http auto-config="true">
    <sec:http-basic/>
</sec:http>

<!-- Declare an authentication-manager to use a custom userDetailsService -->
<sec:authentication-manager>
    <sec:authentication-provider
        user-service-ref="userDetailsService">
        <sec:password-encoder ref="passwordEncoder" />
    </sec:authentication-provider>
</sec:authentication-manager>

<bean
    class="org.springframework.security.authentication.encoding.PlaintextPasswordEncoder"
    id="passwordEncoder" />
<sec:user-service id="userDetailsService">
    <sec:user name="john" password="john" authorities="ROLE_USER, ROLE_ADMIN" />
    <sec:user name="jane" password="jane" authorities="ROLE_USER" />
</sec:user-service>

PingController.java 

@Controller
public class PingController {

    @Secured("ROLE_ADMIN")
    @RequestMapping(value = "/ping", method = RequestMethod.GET)
    public void ping() {
    }

}

Похоже, это не имеет никакого отношения к тому, какой метод аутентификации я использую, поэтому тег basic-http можно пропустить.

У меня есть идея, что @Secured не работает из-заон используется в другом контексте, чем root-context.xml, в котором настраивается защита.Я пытался переместить эту конфигурацию в servlet-context.xml, но, похоже, он не достигает SpringSecurityFilterChain.Есть мысли о проблеме и моей теории?

Ответы [ 2 ]

24 голосов
/ 11 июля 2011

Вы правы, <global-method-security> применяется для каждого контекста.Однако вам не нужно перемещать всю конфигурацию безопасности в servlet-context.xml, просто добавьте в нее элемент <global-method-security>.

9 голосов
/ 05 июля 2012

См. Spring Security FAQ (выделено мной).Если вы применяете pointcut для сервисного уровня, вам нужно только установить <global-method-security> в контексте безопасности вашего приложения.

В веб-приложении Spring контекст приложения, который содержит bean-компоненты Spring MVC для сервлета диспетчера,часто отделены от основного контекста приложения.Он часто определяется в файле myapp-servlet.xml, где «myapp» - это имя, назначенное Spring DispatcherServlet в web.xml.Приложение может иметь несколько DispatcherServlets, каждый со своим собственным изолированным контекстом приложения.Бины в этих «дочерних» контекстах не видны остальной части приложения.«Родительский» контекст приложения загружается с помощью ContextLoaderListener, который вы определили в своем файле web.xml, и видим для всех дочерних контекстов.Этот родительский контекст обычно используется для определения конфигурации безопасности, включая элемент).В результате любые ограничения безопасности, применяемые к методам в этих веб-компонентах, не будут применены, поскольку компоненты не могут быть видны из контекста DispatcherServlet.Вам нужно либо переместить объявление в веб-контекст, либо переместить бины, которые вы хотите защитить, в основной контекст приложения.

Обычно мы рекомендуем применять метод защиты на уровне службы, а не на отдельных веб-контроллерах..

...