【发布时间】:2012-01-01 00:36:20
【问题描述】:
我正在使用 Struts 2 + Spring Security 3 制作一个简单的 Web 应用程序。我想使用 Pre-Post Annotations 来实现方法级别的安全性。
但是注释不起作用。
这是我的 web.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
<display-name>MyCustomSpringSecurity</display-name>
<context-param>
<param-name>contextConfiguration</param-name>
<param-value>/WEB-INF/applicationContext.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>struts2</filter-name>
<filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
<filter-name>struts2</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<welcome-file-list>
<welcome-file>index.jsp</welcome-file>
</welcome-file-list>
</web-app>
这是我的 struts.xml
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 2.1//EN" "http://struts.apache.org/dtds/struts-2.1.dtd">
<struts>
<package name="default" extends="struts-default">
<action name="firstPage" class="code.action.MyAction" method="showPage">
<result name="success">/firstPage.jsp</result>
</action>
</package>
</struts>
这是我的 applicationContext.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">
<global-method-security pre-post-annotations="enabled" >
</global-method-security>
<beans:bean id="myAction" class="code.action.MyAction">
<intercept-methods>
<protect access="ROLE_ADMIN" method="showPage"/>
</intercept-methods>
</beans:bean>
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/index.jsp" access="permitAll" />
<intercept-url pattern="/firstPage" access="hasRole('ROLE_USER')" />
</http>
<authentication-manager>
<authentication-provider>
<user-service>
<user name="user" password="user" authorities="ROLE_USER" />
</user-service>
</authentication-provider>
</authentication-manager>
</beans:beans>
最后这是 MyAction.java
package code.action;
import org.springframework.security.access.prepost.PreAuthorize;
public class MyAction {
@PreAuthorize("hasRole('ROLE_ADMIN')")
public String showPage(){
System.out.println("in showPage");
return "success";
}
}
您可以清楚地看到我为用户分配的角色是 ROLE_USER 但我希望在访问该方法时它是 ROLE_ADMIN ,因此从逻辑上讲,运行此代码时应该出现 403 Access Denied 错误。但它能够访问该方法并显示下一页。
所以我认为注释不起作用。
有人知道发生了什么吗?
【问题讨论】:
-
请做一个测试。创建一个新的 SecuredAction 类,并将带有
@PreAuthorize注解的方法放在这个类中。然后在 MyAction 中注入该 bean,并从 showPage 方法调用它。 -
我按你说的试过了。我创建了一个新的 SecuredAction 类并将我的 @PreAuthorize 注释放在该类中,然后创建 SecuredAction 对象并从 MyAction 调用它的方法:showPage() 但仍然无法正常工作。还是我应该尝试使用 Spring Dependency Injection 注入 SecuredAction 的对象,但我认为这将是一回事。
-
是的,您必须使用注入。 -- 我已经在我的评论中提到了它(“然后在 MyAction 中注入那个 bean”)。 -- 原因是 Spring AOP 只对 Spring Beans 有效,对普通实例无效。
-
感谢您的关注。我唯一缺少的是注入豆子。现在我使用了 Spring 依赖注入,它工作正常。无需创建新的 SecuredAction。
-
你能帮我解决这个问题吗:stackoverflow.com/questions/8208501/…
标签: spring struts2 annotations spring-security