1. 首頁
  2. 問答
  3. @PreAuthorize註解不起作用彈簧安全

@PreAuthorize註解不起作用彈簧安全

2012-08-07 100 views
21

我發現了許多類似的問題,但沒有解決我的問題。 我的問題是ROLE_USER可以訪問的功能ROLE_ADMIN@PreAuthorize註解不起作用彈簧安全

我的spring-security.xml代碼如下。

<beans xmlns="http://www.springframework.org/schema/beans" 
    xmlns:s="http://www.springframework.org/schema/security" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
        http://www.springframework.org/schema/security 
        http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 

<s:http auto-config="true" use-expressions="true"> 
    <s:intercept-url pattern="/index.jsp" access="permitAll" /> 
    <s:intercept-url pattern="/welcome*" access="hasRole('ROLE_USER')" /> 
    <s:intercept-url pattern="/helloadmin*" access="hasRole('ROLE_ADMIN')" /> 

    <s:form-login login-page="/login" default-target-url="/welcome" 
     authentication-failure-url="/loginfailed" /> 
    <s:logout logout-success-url="/logout" /> 
</s:http> 

<s:authentication-manager> 
    <s:authentication-provider> 
    <s:user-service> 
     <s:user name="asif" password="123456" authorities="ROLE_USER,ROLE_ADMIN" /> 
     <s:user name="raheel" password="123456" authorities="ROLE_USER" />   
    </s:user-service> 
    </s:authentication-provider> 
</s:authentication-manager>

當我添加<s:global-method-security pre-post-annotations="enabled"/> 我的代碼顯示了資源未找到錯誤,當我刪除我的代碼成功執行,但ROLE_USER可以訪問ROLE_ADMIN功能

我的控制器功能。

@PreAuthorize("hasRole('ROLE_ADMIN')") 
@RequestMapping(value="/delete", method = RequestMethod.GET) 
public String DeleteAll(ModelMap model, Principal principal) { 

    org.springframework.security.core.userdetails.User activeUser = (org.springframework.security.core.userdetails.User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 
    System.out.println("Active user is "+activeUser.getUsername()+"Authorities are "+activeUser.getAuthorities()); 
    return "deleteUsers"; 

}

來源

2012-08-07 Raheel

回答

21

你應該有

<s:global-method-security pre-post-annotations="enabled"/>

如果你想@PreAuthorize註釋工作。

要回答的評論:

它看起來像你錯過了spring-aop依賴。

如果你正在使用maven你需要:

<dependency> 
    <groupId>org.springframework</groupId> 
    <artifactId>spring-aop</artifactId> 
    <version>${org.springframework.version}</version> 
</dependency>

如果沒有,你可以從here得到罐子。

來源

2012-08-07 08:39:34 Simeon

+0

是的,我知道,但是當我添加 我的代碼顯示資源沒有發現錯誤,你知道如何解決它? – Raheel 2012-08-07 09:27:13

+0

將異常發送上下文初始化事件給類的監聽器實例org.springframework.web.context.ContextLoaderListener org.springframework.beans.factory.BeanDefinitionStoreException:異常解析來自ServletContext資源的XML文檔異常[/WEB-INF/spring-security.xml ]。嵌套異常是java.lang.NoClassDefFoundError:org/aopalliance/intercept/MethodInterceptor – Raheel 2012-08-08 04:29:20

+0

和我正在使用spring security3.07 – Raheel 2012-08-08 05:16:07

3

與@Secured註釋嘗試,

那麼你就必須

@Secured("ROLE_ADMIN") 
@RequestMapping(value="/delete", method = RequestMethod.GET) 
public String DeleteAll(ModelMap model, Principal principal) { 

    ... 

}

這裏的a detailed blog post about it

來源

2012-08-07 07:36:15

1

這可以幫助你:

<security:global-method-security secured-annotations="enabled" proxy-target-class="true"/>

問候。

來源

2012-10-25 14:49:30 rweiller

+0

非常感謝!它解決了我的問題。 – WhiteWater 2016-08-17 14:37:11

2

以上答案都不適用於我。我不得不去添加安全裝飾器的路線。

裝飾放在豆文件servlet-context.xml內。

首先添加安全架構的XML命名空間:

<beans:beans xmlns="http://www.springframework.org/schema/mvc" 
... 
xmlns:security="http://www.springframework.org/schema/security" 
xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">

然後裝飾應用到服務bean的實現,像這樣..使用Servlet時會出現

<beans:bean id="myService" class="my.service.impl.MyServiceImpl" scope="request"> 
    <security:intercept-methods> 
     <security:protect access="ROLE_USER" method="get*"/> 
     <security:protect access="ROLE_ADMIN" method="set*"/> 
    </security:intercept-methods> 
</beans:bean>

來源

2013-09-30 20:39:17 user2601995

1

這個問題3與Web異步支持。一旦使用了方法的匿名方法,Spring Security 3.1.4及以下版本就會失去它們的安全上下文。

升級Spring Security to 3.2.0 RC1將解決您的問題。

Maven的依賴性:

<dependencies> 
    <dependency> 
     <groupId>org.springframework.security</groupId> 
     <artifactId>spring-security-web</artifactId> 
     <version>3.2.0.RC1</version> 
    </dependency> 
    <dependency> 
     <groupId>org.springframework.security</groupId> 
     <artifactId>spring-security-config</artifactId> 
     <version>3.2.0.RC1</version> 
    </dependency> 
</dependencies> 

<repositories> 
    <repository> 
     <id>spring-milestones</id> 
     <name>Spring Milestones</name> 
     <url>http://repo.spring.io/milestone</url> 
     <snapshots> 
      <enabled>false</enabled> 
     </snapshots> 
    </repository> 
</repositories> 
<repositories> 
    <repository> 
     <id>spring-milestones</id> 
     <name>Spring Milestones</name> 
     <url>http://repo.spring.io/milestone</url> 
     <snapshots> 
      <enabled>false</enabled> 
     </snapshots> 
    </repository> 
</repositories>

來源

2013-10-02 00:09:14 user2601995

13

我面臨同樣的問題。我將下面的元素從applicationContext.xml移動到* -servlet.xml(我的調度程序的配置xml)時解決了我的問題。

<security:global-method-security secured-annotations="enabled"/>

你必須不包括此元素在你的調度員的XML對應用程序的XML
Spring FAQ

來源

2014-05-01 22:44:38

+1

如果你至少沒有在你的servlet的xml config- – chrismarx 2014-07-18 15:47:28

+0

中定義的global-security-method,這絕對是正確的答案。這是一個確切的問題,+1提到Spring常見問題解答鏈接。 – 2018-02-16 10:21:43

21

如果您使用XML配置不要忘記添加以下屬性:

<s:global-method-security pre-post-annotations="enabled"/>

如果您使用的是Java配置不要忘記添加以下注釋:

@EnableGlobalMethodSecurity(prePostEnabled = true)

來源

2016-01-08 09:38:32

0

把下面的標籤放在另一個彈簧配置文件中,而不是在spring security configuration fil中即

我也遇到了同樣的錯誤。

<security:global-method-security secured-annotations="enabled" proxy-target-class="true"/>

來源

2016-04-27 05:28:39 pradipgarala

相關問題

 相關問題