Spring Security角色层次结构@Secured JavaConfig

时间:2015-10-06 12:44:57

标签: java spring spring-security

我尝试使用JavaConfig而不是XML在Spring Security中实现角色层次结构时遇到了一些问题。有没有办法用@Secured注释而不是HttpSecurity antMatchers实现角色层次结构?我似乎无法在没有提供正确的String模式的情况下将角色层次结构添加到HttpSecurity,尽管我希望能够使用@Secured进行访问决策。

java.lang.IllegalStateException: At least one mapping is required (i.e. authorizeRequests().anyRequest.authenticated())

@Bean
public RoleHierarchyImpl roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
    roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
    return roleHierarchy;
}

private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
    DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
    defaultWebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
    return defaultWebSecurityExpressionHandler;
}

public void configure(HttpSecurity http){
http.authorizeRequests().expressionHandler(webExpressionHandler()).and().//other stuff
}

非常感谢任何帮助。

1 个答案:

答案 0 :(得分:1)

我还希望使用@Secured注释建立角色层次结构。发现它真的很棘手,但最终有一个以下的解决方案(groovy代码)。

在@Configuration类中定义您的选民和决策经理:

    @Bean
  public static RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl()
    roleHierarchy.setHierarchy("""\
        $SUPER_ADMIN > $ORGANIZATION_ADMIN
        $ORGANIZATION_ADMIN > $DOCTOR
        $DOCTOR > $NURSE
        $NURSE > $PATIENT
        $PATIENT > $USER""".stripIndent())
    roleHierarchy
  }

  @Bean
  public static RoleHierarchyVoter roleVoter() {
    new RoleHierarchyVoter(roleHierarchy())
  }

  @Bean
  public AffirmativeBased accessDecisionManager() {
    List<AccessDecisionVoter> decisionVoters = new ArrayList<>();
    decisionVoters.add(webExpressionVoter());
    decisionVoters.add(roleVoter());
    new AffirmativeBased(decisionVoters);
  }

  private WebExpressionVoter webExpressionVoter() {
    WebExpressionVoter webExpressionVoter = new WebExpressionVoter()
    webExpressionVoter.setExpressionHandler(expressionHandler())
    webExpressionVoter
  }

  @Bean
  public DefaultWebSecurityExpressionHandler expressionHandler(){
    DefaultWebSecurityExpressionHandler expressionHandler = new DefaultWebSecurityExpressionHandler();
    expressionHandler.setRoleHierarchy(roleHierarchy());
    return expressionHandler;
  }

然后在安全配置中添加决策管理器:

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      ...
      .and()
      .authorizeRequests()
      .accessDecisionManager(accessDecisionManager())
      .antMatchers("/auth").permitAll()
      ...
  }

然后你还必须覆盖GlobalMethodSecurityConfiguration以使用你的RoleHierarchyVoter:

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {

  @Override
  protected MethodSecurityExpressionHandler createExpressionHandler() {
   new DefaultMethodSecurityExpressionHandler(roleHierarchy: SecurityConfiguration.roleHierarchy())
  }

  @Override
  protected AccessDecisionManager accessDecisionManager() {
    AffirmativeBased manager = super.accessDecisionManager() as AffirmativeBased
    manager.decisionVoters.clear()
    manager.decisionVoters << SecurityConfiguration.roleVoter()
    manager
  }

}

我正在删除其他选民,只是在AccessDecisionManager中添加我的RoleHierarchyVoter,但如果需要,可以保留其他人。就我而言,我只使用@Secured注释,因此不需要其他注释。这是在任何地方都没有提到的部分,以使其与@Secured注释一起使用。

另一种解决方案是创建一个具有层次结构配置的RoleHierarchy bean,并将其注入您的自定义身份验证过滤器,您将通过调用以下方式对用户进行身份验证并将权限传递给UsernamePasswordAuthenticationToken:

roleHierarchy.getReachableGrantedAuthorities(authorityFromUserDetails)

如果你没有使用任何自定义授权,这第二个解决方案有点棘手,但就我而言,它更简单。

相关问题
最新问题