Como faço para usar funções personalizadas / autoridades de segurança Primavera?
-
13-09-2019 - |
Pergunta
Enquanto a migração de um aplicativo de legado para a segurança da primavera Eu tenho a seguinte exceção:
org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainProxy': Initialization of bean failed; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainList': Cannot resolve reference to bean '_filterSecurityInterceptor' while setting bean property 'filters' with key [3]; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterSecurityInterceptor': Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [superadmin]
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory$1.run(AbstractAutowireCapableBeanFactory.java:409)
at java.security.AccessController.doPrivileged(Native Method)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:380)
at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:264)
Na aplicação de idade existem papéis como "superadmin", "editor", "helpdesk" etc. Mas em todos os exemplos Spring Security só vejo papéis como "ROLE_" ( "ROLE_ADMIN" etc). Quando eu mudar o nome de "superadmin" para "ROLE_ADMIN" e só usar este papel na configuração, tudo funciona.
não funciona:
<http auto-config="true">
<intercept-url pattern="/restricted/**" access="superadmin"/>
<form-login
authentication-failure-url="/secure/loginAdmin.do?error=true"
login-page="/secure/loginAdmin.do" />
</http>
Works:
<http auto-config="true">
<intercept-url pattern="/restricted/**" access="ROLE_ADMIN"/>
<form-login
authentication-failure-url="/secure/loginAdmin.do?error=true"
login-page="/secure/loginAdmin.do" />
</http>
É possível nomes de função uso personalizados?
Solução
Você está usando a configuração padrão que espera que os papéis começa com o prefixo "ROLE_"
. Você terá que adicionar uma configuração de segurança personalizado e conjunto rolePrefix
para "";
http://forum.springsource.org/archive/index. php / t-53485.html
Outras dicas
Aqui está uma configuração completa usando expressões de acesso (link fornecido pelo @rodrigoap parece um pouco desatualizado):
<http
access-decision-manager-ref="accessDecisionManager"
use-expressions="true">
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter"/>
<beans:bean class="org.springframework.security.access.vote.RoleVoter">
<beans:property name="rolePrefix" value=""/>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:property>
</beans:bean>
Você também pode sempre utilizando a expressão (por use-expressions="true"
config) para ignorar ROLE_
prefixo.
Depois de ler Spring Security 3.1 código-fonte, eu encontrei quando use-expressions="true"
:
Para <security:http >
:
HttpConfigurationBuilder#createFilterSecurityInterceptor()
vai regist WebExpressionVoter
mas não RoleVoter
, AuthenticatedVoter
;
Para <security:global-method-security >
: GlobalMethodSecurityBeanDefinitionParser#registerAccessManager()
vai regist PreInvocationAuthorizationAdviceVoter
(condicionalmente), então RoleVoter
sempre regist, AuthenticatedVoter
, Jsr250Voter
regist condicionalmente;
processo vontade PreInvocationAuthorizationAdviceVoter
PreInvocationAttribute
(PreInvocationExpressionAttribute vai ser utilizado como aplicação) que é gerado de acordo @PreAuthorize
. PreInvocationExpressionAttribute#getAttribute()
sempre retornar nulo, então RoleVoter
, AuthenticatedVoter
não votá-lo.
Usando o Spring Security 3.2 , isso funcionou para mim.
Alterar Papel Prefixo:
<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
<beans:property name="rolePrefix" value="NEW_PREFIX_"/>
</beans:bean>
<beans:bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:constructor-arg >
<beans:list>
<beans:ref bean="roleVoter"/>
<beans:ref bean="authenticatedVoter"/>
</beans:list>
</beans:constructor-arg>
</beans:bean>
Dependendo de onde você deseja aplicar o Role Prefixo pode ser aplicado ao nível nível do esquema de segurança ou de feijão.
<http access-decision-manager-ref="accessDecisionManager" use-expressions="true">
Aplicar Papel prefixo AT Service Level:
<beans:bean id="myService" class="com.security.test">
<security:intercept-methods access-decision-manager-ref="accessDecisionManager">
<security:protect access="NEW_PREFIX_ADMIN"/>
</security:intercept-methods>
</beans:bean>
Esta força também ajuda:
http: // fórum. springsource.org/showthread.php?96391-Spring-Security-Plug-in-ROLE_-prefix-mandatory
bassically, ele diz que você tem que escrever em grails-app / conf / primavera / resources.groovy:
roleVoter(org.springframework.security.access.vote.RoleVoter) {
rolePrefix = ''
}
Ela trabalhou para mim.