Spring Security未處理前/後註釋

Question

我試圖獲得使用Web應用程序的前/後註釋，但由於某種原因，Spring-Security沒有發生任何事情。

的web.xml：

<context-param> 
    <param-name>contextConfigLocation</param-name> 
    <param-value> 
     /WEB-INF/rvaContext-business.xml 
     /WEB-INF/rvaContext-security.xml 
    </param-value> 
</context-param> 

<!-- Spring security filter --> 
<filter> 
    <filter-name>springSecurityFilterChain</filter-name> 
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
</filter> 

<filter-mapping> 
    <filter-name>springSecurityFilterChain</filter-name> 
    <url-pattern>/*</url-pattern> 
</filter-mapping> 

<listener> 
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> 
</listener> 

<servlet> 
    <servlet-name>rva</servlet-name> 
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> 
    <load-on-startup>1</load-on-startup> 
</servlet> 

<servlet-mapping> 
    <servlet-name>rva</servlet-name> 
    <url-pattern>/rva/*</url-pattern> 
</servlet-mapping> 

rvaContext-security.xml文件：

<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
     http://www.springframework.org/schema/security 
     http://www.springframework.org/schema/security/spring-security-3.0.xsd"> 

<global-method-security pre-post-annotations="enabled"/> 

<http use-expressions="true"> 
    <form-login login-page="/login" /> 
    <logout /> 
    <remember-me /> 
</http> 
... 

的LoginController類：

@Controller 
@RequestMapping("/login") 
public class LoginController { 

    @RequestMapping(method = RequestMethod.GET) 
    public String login(ModelMap map){ 
     map.addAttribute("title", "Login: AD Credentials"); 
     return("login"); 
    } 

    @RequestMapping("/secure") 
    @PreAuthorize("hasRole('ROLE_USER')") 
    public String secure(ModelMap map){ 
     return("secure"); 
    } 
} 

Answer 1

要啓用控制器secuity註釋，你應該在聲明<security:global-method-security .../>聲明控制器的上下文，即rva-servlet.xml 。

Answer 2

確實，您需要在配置文件中重新定義，該配置文件也用於您的控制器。在Spring Roo這是webmvc-config.xml。在使用Roo配置安全性時，配置文件applicationContext-security.xml最初配置爲啓用這些註釋。這有點令人困惑...

Answer 3

請參閱Spring Security FAQ（強調我的）。

在一個Spring web應用程序，其保持 Spring MVC的豆用於調度的servlet應用上下文是常從 主應用程序上下文分離。它通常在名爲 myapp-servlet.xml的文件中定義，其中「myapp」是分配給web.xml中的Spring DispatcherServlet的名稱。一個應用程序可以有多個 DispatcherServlet，每個都有自己獨立的應用程序上下文。 這些「子」上下文中的bean對於 應用程序的其餘部分不可見。 「父」應用程序上下文由您在web.xml中定義的ContextLoaderListener加載，並且所有 子上下文都可見。此父上下文通常是您定義 安全配置的位置，包括 元素）。因此，應用於 中的方法的任何安全限制都將不會被強制執行，因爲從DispatcherServlet上下文中無法看到該Bean的 。您需要將 聲明移至Web上下文，或將需要保護的bean移至主應用程序上下文中。

通常我們會建議在服務層 上應用方法安全性，而不是在單獨的Web控制器上。

如果你申請的切入點，以服務層，你只需要設置<global-method-security>在應用程序的安全上下文。