JSR 250 方法级安全性在 Spring MVC 中不起作用

Question

我尝试从基于 @Configuration 的安全性转移到 JSR 250 方法级安全性。下面的代码工作如下：

对我的页面的访问是在configure(HttpSecurity http) 内的SecurityConfiguration.class 中配置的。每个人都可以访问“全部”页面，如果有人尝试“受保护”，则显示默认登录页面，如果角色错误，则显示“访问被拒绝”消息。很好。

现在，我想做完全相同的事情，但使用 JSR 250 注释。所以：

我已删除 configure(HttpSecurity http) 方法，添加到调度程序 servlet 上下文配置中

@EnableGlobalMethodSecurity(jsr250Enabled = true, proxyTargetClass = true, mode = AdviceMode.ASPECTJ, prePostEnabled=true)

显然@PermitAll 和@RolesAllowed 在控制器内部。

这些更改无法正常工作。如果我尝试访问任何询问我凭据的页面（默认登录页面），如果我填写它们，那么我可以访问任何角色的任何页面:(

我忘记了什么吗？

提前感谢您提供的任何帮助， 马立克

应用程序上下文：

@Import(SecurityConfiguration.class)
public class AppConfiguration {
  // entityManagerFactory, transactionManager, localValidatorFactoryBean, methodValidationPostProcessor 
}

@Configuration
@EnableWebMvcSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

  @Inject
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication().withUser("marek").password("123456").roles("USER");
    auth.inMemoryAuthentication().withUser("bill").password("123456").roles("ADMIN");
    auth.inMemoryAuthentication().withUser("james").password("123456").roles("SUPERADMIN");
  }

  @Bean
  @Override
  public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
  }

  @Override
  protected void configure(HttpSecurity http) throws Exception {

    http.authorizeRequests().antMatchers("/all**").permitAll();
    http.authorizeRequests().antMatchers("/protected/**").access("hasRole('ROLE_ADMIN')");
    http.authorizeRequests().antMatchers("/confidential/**").access("hasRole('ROLE_SUPERADMIN')");
    http.authorizeRequests().and().formLogin();
}

WebApplicationContext：

@Configuration
@EnableWebMvc
@EnableGlobalMethodSecurity(jsr250Enabled = true, proxyTargetClass = true, mode = AdviceMode.ASPECTJ, prePostEnabled=true)
@ComponentScan(basePackages = "xxx.xxx.controllers")
public class WebMvcConfiguration extends WebMvcConfigurerAdapter {
  // addInterceptors, addViewControllers, templateResolver, templateEngine, thymeleafViewResolver
}

控制器：

@Controller
public class HomeController {
  @PermitAll
  @RequestMapping(value = "/all**", method = RequestMethod.GET)
  public String allPage(Model model) {
    return "all";
  }

  @RolesAllowed("ADMIN")
  @RequestMapping(value = "/protected**", method = RequestMethod.GET)
  public String protectedPage(Model model) {
    return "protected";
  }

  @RolesAllowed("SUPERADMIN")
  @RequestMapping(value = "/confidential**", method = RequestMethod.GET)
  public String superAdminPage(Model model) {
    return "confidential";
  }
}

依赖关系：

<appengine.target.version>1.9.18</appengine.target.version>
<javax.servlet-api.version>3.1.0</javax.servlet-api.version>
<javax.jsr250-api.version>1.0</javax.jsr250-api.version>
<spring.version>4.1.5.RELEASE</spring.version>
<spring.security.version>3.2.6.RELEASE</spring.security.version>
<spring.thymeleaf.version>2.1.4.RELEASE</spring.thymeleaf.version>
<aspectj.version>1.8.5</aspectj.version>

Answer 1

我注意到您的 @EnableGlobalMethodSecurity 注释使用代理模式 AdviceMode.ASPECTJ 但您的依赖项没有列出 AspectJ。

如果您尝试使用 AspectJ 代理，则需要提供依赖项并添加配置以使用 AspectJ 编译器进行编译。

如果您不打算使用 AspectJ 代理，请尝试不使用“mode = AdviceMode.ASPECTJ”参数。

编辑 - 这可能并不明显。要使用 AspectJ 代理，您需要：

1. 指定依赖关系
2. 提供 aspectj 插件配置以使用 AspectJ 编译器进行编译

这里是一个 maven 配置示例：Running JDK8 for aspectj

这是 gradle 的一个：https://github.com/jigishpa/spring-samples/blob/master/aop/hello/build.gradle