Spring Security @PreAuthorize打破Jersey @Context UriInfo注入

Question

我對構建的Jersey/Spring RESTful Web應用程序有問題。我想使用@PreAuthorize註釋來保護我的端點。但是，我需要訪問UriInfo，因爲我使用查詢參數。

一切工作正常，直到我確保方法，然後突然我的UriInfo爲空。我相當肯定這與@PreAuthorize如何導致事物被限定範圍有關 - 不再處於請求級別。

@Component 
@Path("/equipment") 
public class Equipment 
{ 
    @Context 
    UriInfo ui; 

    @PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')") 
    @GET 
    @Produces(MediaType.APPLICATION_JSON) 
    public def list() { 
     println ui 
     return [:] 
    } 

} 

下面的簡單類將打印「null」。

如果刪除@PreAuthorize註解，你會得到預期的結果 - org.glassfish.jersey.internal.inject.UriInfoInjectee@23b21e3

基於事情我已經在其他問題見過，讓我在說推進我的應用程序上下文已經有這樣一行：

<security:global-method-security pre-post-annotations="enabled"/>

和授權部分工作完美。這只是UriInfo的注入失敗。

我使用Spring 3.1.4和Jersey 2.3。提供的代碼在Groovy中，但這不是問題。

謝謝你的幫助。

Answer 1

所以，我想出了一個解決方案，讓我解決我的問題，我將它留在這裏作爲後代。答案並不能滿足所有的「爲什麼」，但它確實使我的應用程序能夠正常工作，而且它不是真正的麻煩。

不是在類級別注入UriInfo，而是在方法級別注入它。我從here得到了這個想法。他們的解釋是，如果方法簽名可能被修改，請在那裏注入。我猜春安是這樣做的，但我不明白爲什麼會打破在課堂上注入的東西。爲後人

工作代碼：

@PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')") 
@GET 
@Produces(MediaType.APPLICATION_JSON) 
public def list(@Context UriInfo ui) { 
    ... 
} 

Answer 2

我碰到同樣的問題，並已與現在戰鬥了幾個星期。儘管如此，建議的解決方法對於我的用途並不實用。

我見過的另一個解決方法是將@PreAuthorize註釋向下移動到服務層（或其他應用程序層），而不是直接在其他資源上使用它。這種解決方案對我來說也不實用，但我認爲我會把它作爲另一種可能性加入。