java - Spring Security - @Secured 仅适用于 mvc Controller-6ren

java - Spring Security - @Secured 仅适用于 mvc Controller

转载作者：行者123 更新时间：2023-11-30 06:36:04

我正在使用 Spring Security + MVC。
注释 @Secured({ "ROLE_ADMIN"}) 仅在 Controller 层工作正常。
如果我尝试在更深的/其他层中使用它，我不会遇到安全错误。
或者，如果我尝试在“无 mvc 映射”方法上使用它，我不会收到任何安全错误。
以下是我的 xml 配置文件:
web.xml:

  <?xml version="1.0" encoding="UTF-8"?>
<web-app id="WebApp_ID" version="2.4"
    xmlns="http://java.sun.com/xml/ns/j2ee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
        /WEB-INF/spring-security.xml
        /WEB-INF/applicationContext.xml
        </param-value>
    </context-param>
    <context-param>
        <param-name>log4jConfigLocation</param-name>
        <param-value>/WEB-INF/classes/log4j-myapp.properties</param-value>
    </context-param>
    <servlet>
        <servlet-name>spring</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>spring</servlet-name>
        <url-pattern>/Management/*</url-pattern>
    </servlet-mapping>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
</web-app>

spring-servlet.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p"
    xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
        http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
         http://www.springframework.org/schema/context
        http://www.springframework.org/schema/context/spring-context-3.0.xsd">

    <!-- Declare a view resolver -->
    <bean id="viewResolver"
    class="org.springframework.web.servlet.view.InternalResourceViewResolver"
    p:prefix="/WEB-INF/pages/" p:suffix=".jsp" />
     <context:component-scan base-package="com.affiliates" />

</beans>

spring-security.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.org/schema/security"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
            http://www.springframework.org/schema/security 

            http://www.springframework.org/schema/security/spring-security-3.0.xsd">
    <security:global-method-security secured-annotations="enabled" />
    <security:http auto-config="true" use-expressions="true"
        access-denied-page="/Management/auth/denied">

        <security:intercept-url pattern="/Management/auth/login"
            access="permitAll" />
        <security:intercept-url pattern="/Management/main/admin"
            access="hasRole('ROLE_EMPLOYEE')" />
        <security:intercept-url pattern="/Management/api/affiliates/**"
            access="hasRole('ROLE_EMPLOYEE')" />

        <security:form-login login-page="/Management/auth/login/"
            authentication-failure-url="/Management/auth/login?error=true"
            login-processing-url="/Management/auth/j_spring_security_check"
            default-target-url="/Management/auth/login?error=false" />
        <security:logout invalidate-session="true"
            logout-success-url="/Management/auth/login/" logout-url="/Management/auth/logout" />
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider
            user-service-ref="customUserDetailsService">
            <security:password-encoder ref="passwordEncoder" />
        </security:authentication-provider>
    </security:authentication-manager>

    <bean
        class="org.springframework.security.authentication.encoding.Md5PasswordEncoder"
        id="passwordEncoder" />
    <bean id="customUserDetailsService" class="com.affiliates.service.CustomUserDetailsService" />
</beans>

mvc-dispacher-servlet.xml

<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
    http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
    http://www.springframework.org/schema/context
    http://www.springframework.org/schema/context/spring-context-2.5.xsd">

    <context:component-scan base-package="com.affiliates.controllers" />

    <bean id="viewResolver"
        class="org.springframework.web.servlet.view.InternalResourceViewResolver">
        <property name="prefix">
            <value>/WEB-INF/pages/</value>
        </property>
        <property name="suffix">
            <value>.jsp</value>
        </property>
    </bean>
</beans>

applocationContext.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:context="http://www.springframework.org/schema/context"
    xmlns:mvc="http://www.springframework.org/schema/mvc"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
            http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
            http://www.springframework.org/schema/context
            http://www.springframework.org/schema/context/spring-context-3.0.xsd
            http://www.springframework.org/schema/mvc 
            http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd">

    <!-- Activates various annotations to be detected in bean classes -->
    <context:annotation-config />

    <!-- Scans the classpath for annotated components that will be auto-registered 
        as Spring beans. For example @Controller and @Service. Make sure to set the 
        correct base-package -->
    <context:component-scan base-package="com.affiliates" />

    <!-- Configures the annotation-driven Spring MVC Controller programming 
        model. Note that, with Spring 3.0, this tag works in Servlet MVC only! -->
    <mvc:annotation-driven />

</beans>

下面是我的使用方法:安全方法:

 @Component
    public  class BrandsApi{
    @Secured({ "ROLE_ADMIN" })
        public ResultContainer getAll() {
            return brandDao.getAll(getSecurityFilter().getBrandSecurityFilter());
        }
    }
}

来电者:

@Controller
@RequestMapping("/api/brands")
public class BrandsController {
@RequestMapping(value = "/get")
    public ModelAndView get(){
       BrandsApi brandsApi = new BrandsApi();
       brandsApi.getAll();
}
}

这是我的最新更新:
嗨，
我已将我的配置转换为运行良好的 javaconfig 文件。
我在加载时调试我的应用程序，我看到参数已被传输。
意味着 brandsApi 已初始化
代码:

@Configuration
public class SpringJavaConfig { 
    @Bean
    public BrandsApi brandsApi(){
        return new BrandsApi();
    }
}

在 BrandsApi 中，我有一个方法，上面有 @Secured({ "ROLE_ADMIN"})

这就是我调用该方法的方式:代码:

ApplicationContext ctx = new AnnotationConfigApplicationContext(SpringJavaConfig.class);
    BrandsApi brandsApi = (BrandsApi)ctx.getBean(BrandsApi.class);
        brandsApi.getAll();

但出于某种原因，即使我已经登录了 ROLE_EMPLOYEE，我也可以进入内部
这是我的 BrandsApi 类:
代码:

class BrandsApi extends BaseApi{
    @Secured({ "ROLE_ADMIN" })
    public void getAll() {
        System.out.println("Hello");
    }
}

最佳答案

注解仅在实例由 Spring 创建时才有效。您必须将要使用它的每个类变成一个 bean，并将其注册到应用程序上下文中。

另请注意，如果您进行内部调用，注释将被忽略:

 Foo foo = context.getBean( "foo", Foo.class );
 foo.foo(); // <-- annotatoon works here

但是如果 foo() 调用 this.foo2()，就不再检查了。因此 foo2() 的任何注释都将被忽略。

关于java - Spring Security - @Secured 仅适用于 mvc Controller，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/5231561/

文章推荐： javascript - 在对象外部执行 onclick 操作

文章推荐： java - 如何从以微单位表示的给定金额中提取单位和子单位部分？

文章推荐： java - JComponent 左侧的 SetTitlePosition

controller - 从另一个 Controller 调用另一个模块中的 Controller
Yii::$app->runAction('new_controller/new_action', $params); 我相信这可以用来从另一个 Controller 调用 Controller Ac
controller - 如何从子 Controller 访问父成员 Controller
这个问题类似于 this ，但我需要访问父成员(不是控制)。我不知道是否可以不使用依赖注入(inject)。例如，我有一个父级，有一个成员调用用户，我需要从子 Controller 访问用户。最佳
controller - 访问另一个 Controller 类中的 Controller
我有包含 2 个布局的根布局:- 选项面板- 绘制区域我正在尝试的是访问 OptionsPaneController 中的 DrawAreaController 以调用其绘制方法。下面是 Optio
iphone - 在 View Controller -> Tab Bar Controller -> Navigation Controller -> View Controller 层次结构中旋转 View Controller
我的应用程序的 View Controller 层次结构设置如下: UIViewController | UITabBarController | UINavigationCo
iphone - 在选项卡栏 Controller -> 导航 Controller -> View Controller 的层次结构中旋转 View Controller
我的应用程序的 View Controller 层次结构设置如下: UITabBarController | UINavigationController | | |
ios - 为什么在导航 Controller 中嵌入 View Controller ，然后在选项卡栏 Controller 中将导航栏附加到选项卡栏 Controller ？
当我第一次为我目前在 Storyboard 中开发的应用程序创建基础布局时，我分两步完成: 选择我的 View Controller 并使用 Editor->Embed In->Navigation
ios - 导航 Controller 内的选项卡栏 Controller ，如何将新的 View Controller 推送到选项卡 Controller ？
设计要求: 显示用户可以选择的项目列表选择一个项目后，使用后退按钮将用户带到一个新 View 。新 View 应在底部包含第一个屏幕中不存在的选项卡列表单击选项卡中的项目时，应出现一个带有后退按钮
angularjs - 获取子 Controller 中的父 Controller ，所有子 Controller 都使用 'controller as vm' 表示法
将父 Controller 设置为“parentCtrl as vm”，并将子 Controller 设置为“childCtrl as vmc”，以避免名称冲突，并且效果良好。如何在子 Contro
ios - Swift 尝试以模态方式呈现事件 Controller [当前 View Controller ]，即使呈现的 Controller 是另一个 Controller
我已经阅读了一些答案，例如关闭当前的 ViewController，但我的情况有所不同，因为我正在展示另一个 ViewController。虽然我无法访问它的属性，但此代码显示了带有导航 Contr
controller - Yii无法实例化 Controller
如我所见，如果我们要实例化一个Model(例如，名为Post)，我们只需调用: $post = new Post(); 现在，我还想实例化一个Controller(例如，名为Post，并为此 Cont
controller - JMeter Controller
我已经疯狂地在整个网络上搜索解决我的问题的方法，但目前还没有。我的问题是我必须检查是否在 HTTP 请求中获得特定文本，该请求在一个 while 循环中，如果我这样做了，那么我应该离开循环并继续线程，
controller - Ember.js 如何获取嵌套 Controller 名称的 Controller
我想用this.get('controllers.pack.query');要得到App.PackQueryController在 App.PackController ，但失败了。我认为问题是 E
controller - 如何在目录中组织 Controller ？
我刚开始使用 Laravel。当我使用 codeigniter 或 zend 框架时，我可以将我的 Controller 组织到一个单独的目录中。例如，我可以创建“user/permission.ph
controller - Emberjs - 如何从另一个 Controller 访问一个 Controller 的方法'
在 emberjs 前 2 我们可以从另一个 Controller 访问 Controller 或 Controller 中的任何方法以下方式: App.get('router').get('nav
ios - 通过 View Controller 、标签栏 Controller 、导航 Controller 和 View Controller 传递数据
这可能是非常简单的实现，但我是 iOS 编程的新手，我似乎被卡住了。所以，基本上，我有一个选项卡式应用程序。我决定除了标签栏之外还需要一个导航栏。为此，我放置了标签栏 Controller ，然后添
jquery - Angularjs Controller : how to call a controller in another controller?
我有这个列表 Controller ， define([ 'jquery', 'app' ], function ($,app) { app.controller("ListC
swift - 从一个 Controller 导航到另一个 Controller ，它们之间有一个根 Controller
我有 3 个 Controller :RootController、FirstController 和 SecondController。我想从 RootController -> FirstCont
ruby-on-rails - Controller 测试 : RuntimeError: @controller is nil. 如果 Controller 在子文件夹中，如何引用 Controller ？
我有以下 Controller : /controllers/api/base_controller.rb /controllers/api/v1/articles_controller.rb 当为文
javascript - 类型错误 : $controller is not a function + Controller inside controller
我是 Angular JS 的新手，尝试在另一个 Controller 中调用一个 Controller ，但出现以下错误。 ionic.bundle.js:21157 TypeError: $con
ios - 当我从一个 View Controller 展开到另一个作为选项卡栏 Controller 子级的 View Controller 时，如何显示选项卡栏 Controller ？
我有一个标签栏 Controller 和它的 3 个 child ，我还有另一个 View ，我制作了一个从 child 到 View Controller 的自定义转场，还有一个从 View Con

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

java - Spring Security - @Secured 仅适用于 mvc Controller