Spring Security не обрабатывает аннотации до/после

Question

Я пытаюсь получить аннотации до/после работы с веб-приложением, но почему-то ничего не происходит с весенней безопасностью.

web.xml:

<context-param> 
    <param-name>contextConfigLocation</param-name> 
    <param-value> 
     /WEB-INF/rvaContext-business.xml 
     /WEB-INF/rvaContext-security.xml 
    </param-value> 
</context-param> 

<!-- Spring security filter --> 
<filter> 
    <filter-name>springSecurityFilterChain</filter-name> 
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
</filter> 

<filter-mapping> 
    <filter-name>springSecurityFilterChain</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 

<listener> 
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> 
</listener> 

<servlet> 
    <servlet-name>rva</servlet-name> 
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> 
    <load-on-startup>1</load-on-startup> 
</servlet> 

<servlet-mapping> 
    <servlet-name>rva</servlet-name> 
    <url-pattern>/rva/*</url-pattern> 
</servlet-mapping> 

rvaContext-security.xml:

<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
     http://www.springframework.org/schema/security 
     http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 

<global-method-security pre-post-annotations="enabled"/> 

<http use-expressions="true"> 
    <form-login login-page="/login" /> 
    <logout /> 
    <remember-me /> 
</http> 
... 

LoginController класс:

@Controller 
@RequestMapping("/login") 
public class LoginController { 

    @RequestMapping(method = RequestMethod.GET) 
    public String login(ModelMap map){ 
     map.addAttribute("title", "Login: AD Credentials"); 
     return("login"); 
    } 

    @RequestMapping("/secure") 
    @PreAuthorize("hasRole('ROLE_USER')") 
    public String secure(ModelMap map){ 
     return("secure"); 
    } 
} 

Answer 1

Чтобы включить secuity аннотации на контроллерах вы должны объявить <security:global-method-security .../> в контекст, в котором объявляются контроллеры, то есть в rva-servlet.xml ,

Answer 2

Действительно, вам нужно переопределить в файле конфигурации, который также используется для ваших контроллеров. В Spring Roo это webmvc-config.xml. При настройке безопасности с Roo конфигурационный файл applicationContext-security.xml изначально настроен для включения этих аннотаций. Это было немного запутанно ...

Answer 3

См. Spring Security FAQ (внимание мое).

В вебе-приложении Spring, контекст приложения, которое держит Spring MVC фасоли для диспетчерского сервлета часто отделяется от основного контекста приложения в . Он часто определяется в файле с именем myapp-servlet.xml, где «myapp» - это имя, назначенное Spring DispatcherServlet в web.xml. Приложение может иметь несколько DispatcherServlets, каждый со своим изолированным контекстом приложения. Бобы в этих «дочерних» контекстах не видны остальной части приложения . Контекст «родительского» приложения загружается с помощью ContextLoaderListener, который вы определяете в своем web.xml и отображается для всех дочерних контекстов. Этот родительский контекст обычно находится там, где вы определяете свою конфигурацию безопасности , включая элемент ). В результате любые ограничения безопасности, применяемые к методам в , эти веб-компоненты не будут применяться, так как bean-компоненты не видны из контекста DispatcherServlet. Вам нужно либо переместить объявление в веб-контекст, либо переместить нулевые блоки в основной контекст приложения.

Обычно мы рекомендуем применять метод защиты на уровне сервиса , а не на отдельных веб-контроллерах.

Если применить к службе срезов в слое вам нужно только установить <global-method-security> в контексте безопасности вашего приложения.