因此,我有@Secure个用于Spring Security的Vaadin(8)视图:
@Secured(SUPERADMIN_ROLE)
@SpringView(name = AdminHomeView.NAME)
class AdminHomeView : DemoViewWithLabel(){
companion object {
const val NAME = "admin/home"
}
override val labelContent = "This is the protected admin section. You are authenticated and authorized."
}
其中DemoViewWithLabel只是一个非常简单的抽象类,显示
VerticalLayout(Label(labelContent))
因此,如果我以Superadmin角色的身份登录,则可以很好地访问此视图。
但是,让我们进行一些小的更改并覆盖方法...
@Secured(SUPERADMIN_ROLE)
@SpringView(name = AdminHomeView.NAME)
class AdminHomeView : DemoViewWithLabel(){
companion object {
const val NAME = "admin/home"
}
override val labelContent = "This is the protected admin section. You are authenticated and authorized."
override fun enter(event: ViewChangeListener.ViewChangeEvent?) {
super.enter(event)
}
}
这给我一个AccessDeniedException ...,我不明白为什么。
所以我为Spring Security打开了调试日志,这就是它的意思:
Secure object: ReflectiveMethodInvocation: public void ch.cypherk.myapp.ui.views.admin.AdminHomeView.enter(com.vaadin.navigator.ViewChangeListener$ViewChangeEvent);
target is of class [ch.cypherk.myapp.ui.views.admin.AdminHomeView];
Attributes: [Superadmin]
Previously Authenticated: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@a6801701:
Principal: ch.cypherk.myapp.model.auth.MyUserDetails@6e4c5c5b;
Credentials: [PROTECTED];
Authenticated: true; Details: null;
Granted Authorities: RIGHT_MANAGER, Superadmin
到目前为止,这似乎还可以。它期望具有Superadmin权限,并且具有具有该Superadmin权限的经过身份验证的用户。
但是...
Voter: org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter@7ddc2dd1, returned: 0
Voter: org.springframework.security.access.vote.RoleVoter@75d3fbb7, returned: 0
Voter: org.springframework.security.access.vote.AuthenticatedVoter@391740fc, returned: 0
因此,
org.springframework.security.access.AccessDeniedException: Access is denied
at org.springframework.security.access.vote.AbstractAccessDecisionManager.checkAllowIfAllAbstainDecisions(AbstractAccessDecisionManager.java:70)
at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:89)
at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:233)
at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:65)
at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:186)
at org.springframework.aop.framework.CglibAopProxy$DynamicAdvisedInterceptor.intercept(CglibAopProxy.java:688)
at ch.cypherk.myapp.ui.views.admin.AdminHomeView$$EnhancerBySpringCGLIB$$ae16a97c_4.enter(<generated>)
at com.vaadin.navigator.Navigator.performNavigateTo(Navigator.java:778)
at com.vaadin.navigator.Navigator.lambda$navigateTo$9a874efd$1(Navigator.java:702)
at com.vaadin.navigator.ViewBeforeLeaveEvent.navigate(ViewBeforeLeaveEvent.java:54)
at com.vaadin.navigator.View.beforeLeave(View.java:79)
at com.vaadin.navigator.Navigator.runAfterLeaveConfirmation(Navigator.java:730)
at com.vaadin.navigator.Navigator.navigateTo(Navigator.java:701)
at ...
为什么?!
在解决此问题方面将提供帮助。
答案 0 :(得分:1)
简而言之
所授予的授权机构不显示ROLE_前缀,因此被RoleVoter忽略。
使用具有空前缀的自定义实现替换RoleVoter可以解决此问题。
全文
现在剩下的问题是为什么我们可以完全访问视图。解释很简单,但需要更多上下文。
我们正在努力将Thorntail应用程序迁移到Spring Boot。
而且我们正在使用Vaadin 8(因为我们有遗留的Vaadin 7东西,我们还没有设法摆脱掉而需要支持)。
是吗?
Vaadin是一个单页框架,Vaadin 8具有这种讨厌的引用视图的方式,即它在根URL上使用#!(例如https://<host>:<port>/#!foo/bar/baz/...)。
#之后没有任何内容发送到服务器,这意味着我们无法区分对/的访问和对/#!foo/bar/baz/...的访问
因此,我们不能使用Spring Security来保护对视图的访问。
我们有一个Vaadin视图,我们需要允许未经身份验证的访问。
结果,我们被迫允许未经认证的访问/。 MainUI(处理所有传入请求)将检查用户是否已通过身份验证,如果未通过身份验证,则会重定向到登录页面。
对视图本身的访问受Vaadin(而不是Spring)保护。 SpringViewProvider将找不到用户不应该访问的View(因此,用户无法导航到那里)。
但是,一旦我们在该视图上调用 方法,Spring安全性就会启动并执行访问检查。正是这些这些检查失败,因为授予的权限没有预期的Spring前缀“ ROLE_”。 (我以为这只是一个约定,但事实并非如此; RoleVoter实际上会忽略不显示前缀的授权机构,因此您必须这样做,否则您必须提供自己的{{1} }。
解决方案相对简单...
RoleVoter其中
@Configuration
@EnableGlobalMethodSecurity(
securedEnabled = true,
prePostEnabled = true,
proxyTargetClass = true
)
class GlobalSecurityConfiguration : GlobalMethodSecurityConfiguration(){
override fun accessDecisionManager(): AccessDecisionManager {
return (super.accessDecisionManager() as AffirmativeBased).apply {
decisionVoters.replaceAll {
when(it){
is RoleVoter -> MyRoleVoter()
else -> it
}
}
}
}
}