@PreAuthorize и RoleHierarchyVoter - PullRequest
Новая
       0

@PreAuthorize и RoleHierarchyVoter

2 голосов
/ 24 октября 2011

Я использую иерархию ролей в Spring Security, как в моем вопросе . Когда я пытаюсь защитить метод с помощью @PreAuthorize("hasRole('ROLE_USER')"), я всегда получаю AccessDeniedException. Однако, если я изменю его на @Secured("ROLE_USER") или 

<protect-pointcut
      expression="execution(* my.package.Class.*(..))"
      access="ROLE_GUEST" />

У меня нет проблем. Из этого ответа оба должны вести себя одинаково, за исключением перечисленных различий. Я что-то здесь упускаю?

Изменить: Вот моя конфигурация. 

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xmlns:context="http://www.springframework.org/schema/context"
  xsi:schemaLocation="
        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
        http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.0.xsd
        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.0.xsd">

  <http entry-point-ref="entryPoint">
    <anonymous enabled="false" />
  </http>

  <beans:bean id="entryPoint"
    class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />

  <global-method-security secured-annotations="enabled"
    pre-post-annotations="enabled" access-decision-manager-ref="accessDecisionManager">
    <!-- this is disable if I secure with annotation @Secured -->
    <protect-pointcut
      expression="execution(* my.package.Class.*(..))"
      access="ROLE_GUEST" />
  </global-method-security>

  <beans:bean id="accessDecisionManager"
    class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:property name="decisionVoters">
      <beans:list>
        <beans:ref bean="roleHierarchyVoter" />
      </beans:list>
    </beans:property>
  </beans:bean>

  <beans:bean id="roleHierarchyVoter"
    class="org.springframework.security.access.vote.RoleHierarchyVoter">
    <beans:constructor-arg ref="roleHierarchy" />
  </beans:bean>

  <beans:bean id="roleHierarchy"
    class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
    <beans:property name="hierarchy">
      <beans:value>
        ROLE_USER > ROLE_GUEST
      </beans:value>
    </beans:property>
  </beans:bean>

  <beans:bean id="userDetailsService"
    class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
    <beans:property name="dataSource" ref="dataSource" />
    <beans:property name="enableGroups" value="true" />
    <beans:property name="enableAuthorities" value="false" />
  </beans:bean>

  <authentication-manager>
    <authentication-provider user-service-ref="userDetailsService">
    </authentication-provider>
  </authentication-manager>

</beans:beans>

1 Ответ

0 голосов
/ 25 октября 2011

Я не совсем уверен, как выглядит ваша конфигурация, когда вы ссылаетесь на другой пост. Решение может быть простым. Оставьте access-decision-manager-ref как: 

<sec:global-method-security
    secured-annotations="enabled" pre-post-annotations="enabled" />

На практике, если аннотации Pre* / Post* используются для обеспечения безопасности метода, система, основанная на избирателях, на самом деле не нужна. На самом деле, для этого вообще нет избирателя, поэтому все остальные избиратели воздерживаются и доступ запрещен.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...