Comment puis-je utiliser des rôles personnalisés / autorités au printemps de sécurité?
-
13-09-2019 - |
Question
Lors de la migration d'une application héritée au printemps sécurité, je suis l'exception suivante:
org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainProxy': Initialization of bean failed; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainList': Cannot resolve reference to bean '_filterSecurityInterceptor' while setting bean property 'filters' with key [3]; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterSecurityInterceptor': Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [superadmin]
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory$1.run(AbstractAutowireCapableBeanFactory.java:409)
at java.security.AccessController.doPrivileged(Native Method)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:380)
at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:264)
Dans l'ancienne application, il y a des rôles tels que « superadmin », « rédacteur en chef », « help desk », etc. Mais dans tous les exemples de sécurité de printemps, je ne vois que des rôles comme « ROLE_ » ( « ROLE_ADMIN », etc.). Lorsque je renomme « superadmin » à « ROLE_ADMIN » et utiliser uniquement ce rôle dans la configuration, tout fonctionne.
ne fonctionne pas:
<http auto-config="true">
<intercept-url pattern="/restricted/**" access="superadmin"/>
<form-login
authentication-failure-url="/secure/loginAdmin.do?error=true"
login-page="/secure/loginAdmin.do" />
</http>
Travaux:
<http auto-config="true">
<intercept-url pattern="/restricted/**" access="ROLE_ADMIN"/>
<form-login
authentication-failure-url="/secure/loginAdmin.do?error=true"
login-page="/secure/loginAdmin.do" />
</http>
est possible d'utiliser des noms de rôles personnalisés?
La solution
Vous utilisez la configuration par défaut qui prévoit que les rôles commence par le préfixe "ROLE_"
. Vous devrez ajouter une configuration de sécurité personnalisée et mettre rolePrefix
à « »;
http://forum.springsource.org/archive/index. php / t-53485.html
Autres conseils
Voici une configuration complète en utilisant des expressions d'accès (lien fourni par @rodrigoap semble un peu dépassée):
<http
access-decision-manager-ref="accessDecisionManager"
use-expressions="true">
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter"/>
<beans:bean class="org.springframework.security.access.vote.RoleVoter">
<beans:property name="rolePrefix" value=""/>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:property>
</beans:bean>
Vous pouvez également toujours utiliser l'expression (par use-expressions="true"
config) d'ignorer préfixe ROLE_
.
Après avoir lu le code source de sécurité Spring 3.1, je trouve quand use-expressions="true"
:
Pour <security:http >
:
HttpConfigurationBuilder#createFilterSecurityInterceptor()
sera REGIST WebExpressionVoter
mais pas RoleVoter
, AuthenticatedVoter
;
Pour <security:global-method-security >
: GlobalMethodSecurityBeanDefinitionParser#registerAccessManager()
sera REGIST PreInvocationAuthorizationAdviceVoter
(sous condition), puis toujours Regist RoleVoter
, AuthenticatedVoter
, Jsr250Voter
Regist sous condition;
PreInvocationAuthorizationAdviceVoter
traitera PreInvocationAttribute
(PreInvocationExpressionAttribute sera utilisé en tant que mise en œuvre) qui est généré en fonction @PreAuthorize
. PreInvocationExpressionAttribute#getAttribute()
retourne toujours NULL, donc RoleVoter
, AuthenticatedVoter
ne votent pas.
Utilisation Spring Security 3.2 , cela a fonctionné pour moi.
Modifier le rôle Prefix:
<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
<beans:property name="rolePrefix" value="NEW_PREFIX_"/>
</beans:bean>
<beans:bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:constructor-arg >
<beans:list>
<beans:ref bean="roleVoter"/>
<beans:ref bean="authenticatedVoter"/>
</beans:list>
</beans:constructor-arg>
</beans:bean>
Selon l'endroit où vous souhaitez appliquer le préfixe de rôle peut être appliqué au niveau du schéma de sécurité ou le niveau haricot.
<http access-decision-manager-ref="accessDecisionManager" use-expressions="true">
Appliquer le préfixe de rôle au niveau de service:
<beans:bean id="myService" class="com.security.test">
<security:intercept-methods access-decision-manager-ref="accessDecisionManager">
<security:protect access="NEW_PREFIX_ADMIN"/>
</security:intercept-methods>
</beans:bean>
Cela peut aussi aider à:
http: // forum. springsource.org/showthread.php?96391-Spring-Security-Plug-in-ROLE_-prefix-mandatory
Bassically, il dit que vous devez écrire dans Grails-app / conf / printemps / resources.groovy:
roleVoter(org.springframework.security.access.vote.RoleVoter) {
rolePrefix = ''
}
Il a travaillé pour moi.