Spring Security и EnableGlobalMethodSecurity

Question

Я пытаюсь использовать конфигурацию java Spring Security с аннотациями. В принципе, я бы хотел использовать комбинацию аннотационного подхода со статическими конфигурациями.

http 
    .authorizeRequests() 
    .anyRequest().authenticated() 

И

@Controller 
@RequestMapping({"/version", "/*/version"}) 
@PermitAll 
public class VersionController { 
// Implementation 
} 

Вскоре я хочу, чтобы @PermitAll должны иметь приоритет над другими избирателями. Можно ли использовать для этого случая @EnableGlobalMethodSecurity(jsr250Enabled = true)?

Answer 1

Я немного изменил свое мнение и начал думать о другом решении. Если я могу узнать своих контроллеров до начала весенней безопасности, я могу настроить его, обработав их. В основном я создал процессор и мало ставка упрощенного варианта моей реализации является:

@Component 
public class PermitAllProcessor { 

    private static final Logger logger = LoggerFactory.getLogger(PermitAllProcessor.class); 

    @Autowired 
    AbstractHandlerMethodMapping abstractHandlerMethodMapping; 


    public String[] process() { 
     Map<RequestMappingInfo, HandlerMethod> handlerMethods = abstractHandlerMethodMapping.getHandlerMethods(); 
     ArrayList<String> urls = Lists.newArrayList(); 
     for(Map.Entry<RequestMappingInfo, HandlerMethod> entry : handlerMethods.entrySet()) { 
     PermitAll annotation = getPermitAll(entry.getValue()); 
     if(annotation != null) { 
      Set<String> patterns = entry.getKey().getPatternsCondition().getPatterns(); 
      urls.addAll(patterns); 
     } 
     } 
     logger.info("Permitted urls as follows: {}", 
        StringUtils.collectionToDelimitedString(urls, ",", "[", "]")); 
     return urls.toArray(new String[urls.size()]); 
    } 

    private PermitAll getPermitAll(HandlerMethod value) { 
     PermitAll annotation = value.getMethodAnnotation(PermitAll.class); 
     if(annotation == null){ 
     annotation = value.getBeanType().getAnnotation(PermitAll.class); 
     } 
     return annotation; 
    } 
} 

И в основном

.authorizeRequests() 
    .antMatchers(permitAllProcessor.process()).permitAll() 
    .anyRequest().authenticated(); 

Answer 2

Насколько я понимаю, что это не возможно достичь своей цели с помощью безопасности метода, поскольку обработка запроса трубопровода выглядит следующим образом:

1. Spring Security применяет правила веб-безопасности
2. DispatcherServlet выбирает метод hanlder
3. Метод защиты применяется к методу обработчика, если он содержит аннотации безопасности

Однако вы можете попытаться его достичь, используя d ifferent подход (не проверено):

• Извлечение метаданных для всех методов обработчиков, как описано here
• С его помощью можно настроить Spring Secuirty
  Например, выберите RequestMappingInfo с для всех методов, которые имеют свой обычай @PermitAll аннотацию и создать пользовательский RequestMatcher, который вернет true для запросов к этим методам. Затем настройте Spring Security, чтобы каждый мог получить доступ к URL-адресам, которые соответствуют указанному помощнику.