gpt4 book ai didi

java - Spring Security @PreAuthorize 打破 Jersey @Context UriInfo 注入(inject)

转载 作者:行者123 更新时间:2023-11-29 05:29:35 24 4
gpt4 key购买 nike

我在构建 Jersey/Spring RESTful Web 应用程序时遇到问题。我想使用 @PreAuthorize 注释来保护我的端点。但是,我需要访问 UriInfo,因为我确实使用查询参数。

在我保护该方法之前一切正常,然后突然我的 UriInfo 为空。我相当确定这与 @PreAuthorize 如何导致事情被限定范围有关 - 不再在请求级别。

@Component
@Path("/equipment")
public class Equipment
{
@Context
UriInfo ui;

@PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')")
@GET
@Produces(MediaType.APPLICATION_JSON)
public def list() {
println ui
return [:]
}

}

下面的简单类将打印“null”。

如果删除 @PreAuthorize 注释,您将获得预期的结果 - org.glassfish.jersey.internal.inject.UriInfoInjectee@23b21e3

根据我在其他问题中看到的情况,让我提前说一下我的应用程序上下文已经有这一行:

<security:global-method-security pre-post-annotations="enabled"/>

授权部分运行良好。只是 UriInfo 的注入(inject)失败了。

我正在使用 Spring 3.1.4 和 Jersey 2.3。提供的代码在 Groovy 中,但这不是问题所在。

感谢您的帮助。

最佳答案

所以,我想出了一个解决方案来解决我的问题,我将它留在这里供后代使用。答案并不能满足这一切的“原因”,但它确实让我的应用程序正常工作,而且它并不是一个真正的问题。

我没有在类级别注入(inject) UriInfo,而是在方法级别注入(inject)它。我的想法来自 here .他们的解释是,如果方法签名可能被修改,则将其注入(inject)那里。我猜 Spring Security 正在这样做,但我不明白为什么这会破坏在类级别注入(inject)的东西。

后代的工作代码:

@PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')")
@GET
@Produces(MediaType.APPLICATION_JSON)
public def list(@Context UriInfo ui) {
...
}

关于java - Spring Security @PreAuthorize 打破 Jersey @Context UriInfo 注入(inject),我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21586070/

24 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com