Wie kann ich benutzerdefinierte Rollen / Behörden in Spring Security verwenden?

StackOverflow https://stackoverflow.com/questions/986892

  •  13-09-2019
  •  | 
  •  

Frage

Während eine Legacy-Anwendung Migration Sicherheit lasse ich die folgende Ausnahme bekam: 

org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainProxy': Initialization of bean failed; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainList': Cannot resolve reference to bean '_filterSecurityInterceptor' while setting bean property 'filters' with key [3]; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterSecurityInterceptor': Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [superadmin]
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory$1.run(AbstractAutowireCapableBeanFactory.java:409)
at java.security.AccessController.doPrivileged(Native Method)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:380)
at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:264)

In der alten Anwendung gibt es Rollen wie „Superadmin“, „Editor“, „Helpdesk“ etc. Aber in allen Spring Security Beispielen Ich sehe Rollen nur wie „ROLE_“ ( „ROLE_ADMIN“ usw.). Als ich „Superadmin“ auf „ROLE_ADMIN“ umbenennen und nur diese Rolle in der Config verwenden, alles funktioniert.

Funktioniert nicht: 

 <http auto-config="true">                                      
    <intercept-url pattern="/restricted/**" access="superadmin"/>
    <form-login
        authentication-failure-url="/secure/loginAdmin.do?error=true"
        login-page="/secure/loginAdmin.do" />        
</http>

Works: 

<http auto-config="true">                                      
    <intercept-url pattern="/restricted/**" access="ROLE_ADMIN"/>
    <form-login
        authentication-failure-url="/secure/loginAdmin.do?error=true"
        login-page="/secure/loginAdmin.do" />        
</http>

Ist möglich, benutzerdefinierte Rollennamen zu benutzen?

War es hilfreich?

Lösung

Sie sind mit der Standardkonfiguration, die die Rollen beginnen mit dem Präfix "ROLE_" erwartet. Sie erhalten eine benutzerdefinierte Sicherheitskonfiguration hinzufügen müssen und setzen rolePrefix auf „“;

http://forum.springsource.org/archive/index. php / t-53485.html

Andere Tipps

Dies ist die komplette Konfiguration Zugriff Ausdrücken (Link von @rodrigoap bereitgestellt ein wenig veraltet scheint): 

<http
        access-decision-manager-ref="accessDecisionManager"
        use-expressions="true">

<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:property name="decisionVoters">
        <beans:list>
            <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter"/>
            <beans:bean class="org.springframework.security.access.vote.RoleVoter">
                <beans:property name="rolePrefix" value=""/>
            </beans:bean>
            <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
        </beans:list>
    </beans:property>
</beans:bean>

Sie können auch immer Ausdruck mit (von Config use-expressions="true") ROLE_ Präfix zu ignorieren.

Nach Spring Security 3.1 Quellcode zu lesen, fand ich, wenn use-expressions="true":

Für <security:http >:
HttpConfigurationBuilder#createFilterSecurityInterceptor() wird erfolgter Anmeldung WebExpressionVoter aber nicht RoleVoter, AuthenticatedVoter;

Für <security:global-method-security >: GlobalMethodSecurityBeanDefinitionParser#registerAccessManager() wird erfolgter Anmeldung PreInvocationAuthorizationAdviceVoter (bedingt), dann immer per Einschreiben RoleVoter, AuthenticatedVoter, Ausrichteinleitungspfad Jsr250Voter bedingt;

PreInvocationAuthorizationAdviceVoter wird verarbeiten PreInvocationAttribute (PreInvocationExpressionAttribute als Implementierung verwendet werden), die erzeugt wird @PreAuthorize nach. PreInvocationExpressionAttribute#getAttribute() immer null zurück, so RoleVoter, AuthenticatedVoter Sie es nicht stimmen.

Mit Spring Security 3.2 , arbeitete für mich.

Rolle ändern Prefix: 

<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
    <beans:property name="rolePrefix" value="NEW_PREFIX_"/>
</beans:bean>

<beans:bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>   

<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:constructor-arg >
        <beans:list>
            <beans:ref bean="roleVoter"/>
            <beans:ref bean="authenticatedVoter"/>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>

Je nachdem, wo Sie die Rolle Präfix anwenden kann es auf der Security Schemaebene oder Bohnen Ebene angewandt werden. 

<http access-decision-manager-ref="accessDecisionManager" use-expressions="true">

Anwenden Role Präfix an Service Level: 

<beans:bean id="myService" class="com.security.test">
    <security:intercept-methods  access-decision-manager-ref="accessDecisionManager">
        <security:protect access="NEW_PREFIX_ADMIN"/>
    </security:intercept-methods>
</beans:bean>

Dies könnte auch helfen:

http: // Forum. springsource.org/showthread.php?96391-Spring-Security-Plug-in-ROLE_-prefix-mandatory

bassically, sagt es Ihnen in Grails-app / conf / Frühjahr / resources.groovy schreiben: 

roleVoter(org.springframework.security.access.vote.RoleVoter) {
    rolePrefix = ''
}

Es funktioniert für mich.

Lizenziert unter: CC-BY-SA mit Zuschreibung
Nicht verbunden mit StackOverflow
scroll top