为什么在装饰器中调用安全认证属性`principal.displayName`会抛出异常?

时间:2010-08-15 11:29:01

标签: java spring spring-security decorator sitemesh

有没有理由在装饰器中调用安全认证属性principal.displayName会导致问题?

我将它设置为sitemesh装饰器中的变量:

                <c:set var="displayName">
                    <sec:authentication property="principal.displayName" />
                </c:set>

但它产生了这个例外:

java.lang.RuntimeException: javax.servlet.ServletException: javax.servlet.jsp.JspException: Invalid property 'principal.displayName' o
f bean class [org.springframework.security.authentication.AnonymousAuthenticationToken]: Bean property 'principal.displayName' is not
readable or has an invalid getter method: Does the return type of the getter match the parameter type of the setter?
        at com.opensymphony.sitemesh.webapp.decorator.BaseWebAppDecorator.render(BaseWebAppDecorator.java:39)
        at com.opensymphony.sitemesh.webapp.SiteMeshFilter.doFilter(SiteMeshFilter.java:84)
        at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157)
        at org.mortbay.jetty.servlet.ServletHandler.handle(ServletHandler.java:388)
        at org.mortbay.jetty.security.SecurityHandler.handle(SecurityHandler.java:216)
        at org.mortbay.jetty.servlet.SessionHandler.handle(SessionHandler.java:182)
        at org.mortbay.jetty.handler.ContextHandler.handle(ContextHandler.java:765)
        at org.mortbay.jetty.webapp.WebAppContext.handle(WebAppContext.java:418)
        at com.google.apphosting.utils.jetty.DevAppEngineWebAppContext.handle(DevAppEngineWebAppContext.java:70)
        at org.mortbay.jetty.servlet.Dispatcher.forward(Dispatcher.java:327)
        at org.mortbay.jetty.servlet.Dispatcher.forward(Dispatcher.java:126)
        at org.tuckey.web.filters.urlrewrite.NormalRewrittenUrl.doRewrite(NormalRewrittenUrl.java:195)
        at org.tuckey.web.filters.urlrewrite.RuleChain.handleRewrite(RuleChain.java:159)
        at org.tuckey.web.filters.urlrewrite.RuleChain.doRules(RuleChain.java:141)
        at org.tuckey.web.filters.urlrewrite.UrlRewriter.processRequest(UrlRewriter.java:90)
        at org.tuckey.web.filters.urlrewrite.UrlRewriteFilter.doFilter(UrlRewriteFilter.java:417)
        at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157)

2 个答案:

答案 0 :(得分:11)

此时您的请求Authentication对象是AnonymousAuthenticationToken类的实例,该类没有名为displayName的属性。

显然,SpringSecurity认为用户未被记录。你可能需要

  • 更改访问规则,以便只有在用户登录时才能查看该JSP,或

  • 将JSP更改为以下内容(假设您使用的是Spring 3.0.x并且已启用Web安全表达式)。

<c:set var="displayName">
    <sec:authorize access="isAuthenticated()">
        <sec:authentication property="principal.displayName" />
    </sec:authorize>
</c:set>

参考文献:

答案 1 :(得分:0)

接下来是Stephen C的回答及他提供的参考资料

我成功编写了代码为

<sec:authorize access="hasAnyRole('ROLE_DEFINED_1','ROLE_DEFINED_2')">
    <sec:authentication property="principal.displayName" />
</sec:authorize>

其中,ROLE_DEFINED_1和ROLE_DEFINED_2是您的应用程序中定义的角色。

相关问题
最新问题