@Secured在控制器中不起作用,但intercept-url似乎工作正常

时间:2011-07-11 13:51:19

标签: spring spring-mvc spring-security spring-annotations

我的@Controller中的方法看起来不像@Secured。当使用基于sec:intercept-url的安全过滤时,这似乎工作正常。以下代码导致Spring Security为我提供了这个日志条目:

  

DEBUG:org.springframework.security.web.access.intercept.FilterSecurityInterceptor - 公共对象 - 未尝试身份验证

的web.xml

             contextConfigLocation的                      /WEB-INF/spring/root-context.xml              

<!-- Creates the Spring Container shared by all Servlets and Filters -->
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<!-- Processes application requests -->
<servlet>
    <servlet-name>appServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/spring/appServlet/servlet-context.xml
        </param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

<!-- Filter security -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

servlet-context.xml包含viewResolvers和所有编组的配置。此配置是注释驱动的。

根context.xml中 

    <sec:global-method-security secured-annotations="enabled" />

<sec:http auto-config="true">
    <sec:http-basic/>
</sec:http>

<!-- Declare an authentication-manager to use a custom userDetailsService -->
<sec:authentication-manager>
    <sec:authentication-provider
        user-service-ref="userDetailsService">
        <sec:password-encoder ref="passwordEncoder" />
    </sec:authentication-provider>
</sec:authentication-manager>

<bean
    class="org.springframework.security.authentication.encoding.PlaintextPasswordEncoder"
    id="passwordEncoder" />
<sec:user-service id="userDetailsService">
    <sec:user name="john" password="john" authorities="ROLE_USER, ROLE_ADMIN" />
    <sec:user name="jane" password="jane" authorities="ROLE_USER" />
</sec:user-service>

PingController.java 

@Controller
public class PingController {

    @Secured("ROLE_ADMIN")
    @RequestMapping(value = "/ping", method = RequestMethod.GET)
    public void ping() {
    }

}

这与我正在使用的身份验证方法没有任何关系,因此可以忽略basic-http-tag。

我认为@Secured不起作用,因为它被用于另一个上下文而不是正在配置安全性的root-context.xml。我试图将此配置移动到servlet-context.xml,但它似乎没有到达springSecurityFilterChain。关于问题和我的理论的任何想法?

2 个答案:

答案 0 :(得分:24)

您是对的,<global-method-security>是基于每个上下文应用的。但是,您无需将整个安全配置移至servlet-context.xml,只需向其添加<global-method-security>元素即可。

答案 1 :(得分:9)

Spring Security FAQ(强调我的)。如果您将切入点应用于服务图层,则只需在应用的安全上下文中设置<global-method-security>

  

在Spring Web应用程序中,持有的应用程序上下文   调度程序servlet的Spring MVC bean通常是独立的   主要应用背景。它通常在一个名为的文件中定义   myapp-servlet.xml,其中“myapp”是分配给Spring的名称   web.xml中的DispatcherServlet。一个应用程序可以有多个   DispatcherServlets,每个都有自己独立的应用程序上下文。   这些“子”环境中的bean对于其余部分是不可见的   应用。 “父”应用程序上下文由   您在web.xml中定义的ContextLoaderListener,对所有人都可见   孩子的背景。此父上下文通常是您定义的位置   您的安全配置,包括   元件)。因此,任何安全约束都应用于方法中   由于无法看到bean,因此不会强制执行这些Web Bean   来自DispatcherServlet上下文。你需要移动    声明到Web上下文或移动了   您想要保护到主应用程序上下文中的bean。

     

通常我们建议在服务中应用方法安全性   层而不是单个Web控制器。

相关问题
最新问题