Spring安全性如何定义自定义角色名称

时间:2013-06-07 14:05:02

标签: spring spring-security

我找到了一些解决方案,但没有一个适合我。下面的代码给出了

"Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [admin]" 

错误。当我将auto-config属性更改为“true”时,再次给出相同的错误。

<http auto-config="false">
    <intercept-url pattern="/pages/login.xhtml*" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <intercept-url pattern="/**" access="admin" />
    <form-login login-page='/pages/login.xhtml' default-target-url="/**"
                authentication-failure-url="/pages/login.xhtml"/>
    <logout logout-success-url="/pages/logout.xhtml" />
</http>

<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
    <beans:property name="rolePrefix" value=""/>
</beans:bean>

2 个答案:

答案 0 :(得分:7)

您需要通过org.springframework.security.access.vote.AffirmativeBased属性为您的自定义配置决策选民提供您自己的决策经理(例如access-decision-manager-ref="decisionMangerId")。

但请注意,在角色选民中没有前缀不是一个好主意,因为它只会尝试将所有安全属性解释为角色。我强烈建议使用一些前缀,如果不是默认的ROLE_

或者您可以通过use-expressions="true"启用基于表达式的解析并使用access="hasRole('admin')" expresion。采用这种方式时,您还需要使用IS_AUTHENTICATED_ANONYMOUSLY更改access="permitAll"条件。

答案 1 :(得分:3)

应该是:

access="hasRole('admin')"