无法在 Spring Security 中获取 @Secured Method Security 注释

【问题标题】:Can not get the @Secured Method Security annotations working in Spring Security无法在 Spring Security 中获取 @Secured Method Security 注释
【发布时间】:2015-05-30 07:37:27
【问题描述】:

我做了很多研究,在我看来一切都正确......但我无法让它发挥作用!有人知道吗?

无论我做什么,相关映射对任何人都是公开的(匿名或登录,无论他们拥有什么角色)。

理想情况下,我希望所有请求都是公开的,除了那些由 @Secured() 注释的请求 - 显然只有具有特定角色的用户才能访问这些映射。

这可能吗?

仅供参考,作为一种解决方法,我目前构建了一个方法“hasRole(String role)”,它检查登录用户的角色,如果该方法返回 false,则抛出 NotAuthorizedException(自定义)。

用户详情

  @Override
  public Collection<? extends GrantedAuthority> getAuthorities() {

      List<GrantedAuthority> grantedAuthorities = null;

      System.out.print("Account role... ");
      System.out.println(account.getRole());

      if (account.getRole().equals("USER")) {
          GrantedAuthority grantedAuthority = new SimpleGrantedAuthority("ROLE_USER");
          grantedAuthorities = Arrays.asList(grantedAuthority);
      }

      if (account.getRole().equals("ADMIN")) {
          GrantedAuthority grantedAuthorityUser = new SimpleGrantedAuthority("ROLE_USER");
          GrantedAuthority grantedAuthorityAdmin = new SimpleGrantedAuthority("ROLE_ADMIN");
          grantedAuthorities = Arrays.asList(grantedAuthorityUser, grantedAuthorityAdmin);
      }

      return grantedAuthorities;
  }

安全配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private AuthFailure authFailure;

    @Autowired
    private AuthSuccess authSuccess;

    @Autowired
    private EntryPointUnauthorizedHandler unauthorizedHandler;

    @Autowired
    private UserDetailsServiceImpl userDetailsService;

    /*@Autowired
    public void configAuthBuilder(AuthenticationManagerBuilder builder) throws Exception {
        builder.userDetailsService(userDetailsService);
    }*/

    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Autowired
    @Override
    public void configure(AuthenticationManagerBuilder builder) throws Exception {
        builder.userDetailsService(userDetailsService);
    }

  private CsrfTokenRepository csrfTokenRepository() {
    HttpSessionCsrfTokenRepository repository = new HttpSessionCsrfTokenRepository();
    repository.setHeaderName("X-XSRF-TOKEN");
    return repository;
  }

    @Override
    public void configure(HttpSecurity http) throws Exception {
      http.csrf().csrfTokenRepository(csrfTokenRepository())
        .and().exceptionHandling().authenticationEntryPoint(unauthorizedHandler)
        .and().formLogin().loginPage("/login").successHandler(authSuccess).failureHandler(authFailure)
        //.and().authorizeRequests().antMatchers("/rest/**").authenticated()
        //.and().authorizeRequests().antMatchers("/**").permitAll()
        .and().addFilterAfter(new CsrfHeaderFilter(), CsrfFilter.class);;
    }

帐户控制器

  @Secured("ROLE_USER")
  @RequestMapping(method = RequestMethod.GET)
  public List<Account> getAllAccounts(@RequestParam(value = "mail", required = false) String mail) {

谢谢!

【问题讨论】:

  • 请您告诉我们您的映射是什么样的?它是在控制器上全局定义的,还是你有任何用 @RequestMapping(...) 注释的方法?
  • 我已经用@RestController 和@RequestMapping('rest/accounts') 注释了我的AccountController 类。我已在原始帖子中添加了此代码。然后我为每个方法分别设置@RequestMapping(例如@RequestMapping(value=/{id}, method=RequestMethod.GET)
  • 您可以使用@EnableWebMvcSecurity 启用mvc 安全并重试吗?

标签: java spring spring-security annotations


【解决方案1】:

您可以通过 Spring HttpSecurity 使用 Controller 范围的安全性。尝试将此添加到您的配置方法中:

.antMatchers("rest/accounts*").hasRole("ADMIN")

如果您希望公开任何请求(真的吗?):

.anyRequest().permitAll()

当您从任何地方访问它时,您还可以在 UserDetailsS​​ervice 中保护您的 Methodinvocation for Example:

@Secured("ROLE_USER")
public getAllAccounts(...){...}

只有这样你才需要注释你的 SecurityConfig:

@EnableGlobalMethodSecurity(securedEnabled = true)

在实践中,我们建议您在服务中使用方法安全性 层,用于控制对您的应用程序的访问,而不是完全依赖 关于使用在 Web 应用程序中定义的安全约束 等级。 URL 发生变化,很难考虑到所有 应用程序可能支持的可能 URL 以及请求可能如何 被操纵。您应该尝试限制自己使用一些 简单易懂的蚂蚁路径。总是尝试使用 一个“默认拒绝”的方法,你有一个包罗万象的通配符( / 或 ) 最后定义并拒绝访问。服务中定义的安全性 层更健壮且更难绕过,因此您应该始终 利用 Spring Security 的方法安全选项。

见:http://docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSHOT/reference/htmlsingle/#request-matching

【讨论】:

  • 嗯。显然,控制器应该是完全安全的,是的。但对于其他 API,我希望 GET 请求保持公开状态,并保护 PUT/POST/DELETE 请求。我想我可以将我的 API 拆分为 /public/、/private/ 和 /admin/ 路由,然后使用 configure() 方法中的 HttpSecurity 正确保护它们。那应该行得通。但我仍然很好奇为什么我不能在我的控制器中使用 @Secured 注释。 :)
  • 另外 - 你是对的,我可以使用 @Secured 保护我的服务类中的方法,这很有效。例如。当我在“getAllAccounts”上执行此操作时,安全性就会启动,我只能在以正确角色登录时获取数据。但是为什么我只能保护我的 Service 类方法,而不能保护我的 RestController?这是故意的吗?我发现了很多例子,人们也保护他们的控制器,所以认为这应该是可能的?
  • 它是有意和推荐的。您可以在这里查看:docs.spring.io/autorepo/docs/spring-security/4.0.0.CI-SNAPSHOT/… 您要保护的方法是处理程序方法,由 Request(Mapping) 调用。如果您在控制器中有其他方法,您可以使用@Secured Annotation。
  • 嘿 - 即使我设法通过保护服务类方法来解决这个问题,我仍然不明白为什么我不能保护我的控制器类中的方法(我的 GET/PUT/POST/DELETE 处理程序)。文档中没有任何内容说不应该这样做,而且我一如既往地在这个例子中看到很多例子。 :S
  • @Joachim 实际上你可以使用 http.antMatchers(HttpMethod.POST, "/rest/accounts*").hasRole(... 管理方法
【解决方案2】:

在这里,我想根据 sven.kwiotek 的上述正确答案添加一些内容。如果在ROLE表中你还想用“USER”、“ADMIN”……解决方法也很简单:

从数据库中获取角色时,不要忘记手动添加“ROLE_”前缀,例如,

List<GrantedAuthority> authorities = user.getRoles().stream().map(role -> 
    new SimpleGrantedAuthority("ROLE_" + role.getRole()))
    .collect(Collectors.toList());

然后您可以在控制器方法中安全地使用注解@Secured("ROLE_USER")

原因是org.springframework.security.access.vote.RoleVoter 类中的所有角色都应以ROLE_ 前缀开头。

【讨论】:

    猜你喜欢
    • 2021-09-27
    • 2016-08-11
    • 1970-01-01
    • 2012-02-03
    • 2015-09-20
    • 2014-03-09
    • 2016-07-18
    • 1970-01-01
    • 2015-12-10
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode