java - 使用 JSR-250 (@RolesAllowed) 注释 Spring MVC 和容器身份验证-6ren

java - 使用 JSR-250 (@RolesAllowed) 注释 Spring MVC 和容器身份验证

转载作者：行者123 更新时间：2023-12-01 09:01:30

25

4

我有一个 Web 应用程序，它使用 Spring 框架和 Spring MVC 来创建 REST 端点。身份验证由容器使用 Java EE 安全性(特别是由 Active Directory 支持的 Wildfly 9 中的安全领域)提供，并且角色从应用程序数据库加载。我有一个由过滤器应用的请求包装器，以便通过普通的 Servlet API 提供用户详细信息。

web.xml:

<web-app ... version="3.1">

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>Unauthenticated Resources</web-resource-name>
            <url-pattern>/favicon.ico</url-pattern>
            <url-pattern>/NoAccess.html</url-pattern>
            <url-pattern>/login</url-pattern>
            <url-pattern>/css/*</url-pattern>
            <url-pattern>/font/*</url-pattern>
            <url-pattern>/images/*</url-pattern>
            <url-pattern>/js/*</url-pattern>
            <url-pattern>/lib/*</url-pattern>
            <url-pattern>/partials/*</url-pattern>
        </web-resource-collection>
    </security-constraint>

    <security-constraint>
        <web-resource-collection>
            <web-resource-name>All Resources</web-resource-name>
            <url-pattern>/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <role-name>*</role-name>
        </auth-constraint>
    </security-constraint>

    <login-config>
        <auth-method>FORM</auth-method>
        <realm-name>App Realm</realm-name>
        <form-login-config>
            <form-login-page>/Login.jsp</form-login-page>
            <form-error-page>/NoAccess.html</form-error-page>
        </form-login-config>
    </login-config>

    <security-role>
        <role-name>*</role-name>
    </security-role>

</web-app>

SecurityFilter.java

@WebFilter(urlPatterns = { "*" })
public class SecurityFilter implements Filter {

    ...

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        HttpServletResponse httpResponse = (HttpServletResponse) response;

        // Don't wrap unauthenticated requests
        if (httpRequest.getRemoteUser() == null) {
            chain.doFilter(httpRequest, httpResponse);
            return;
        }

        Person user = this.personRepository.findByLogin(httpRequest.getRemoteUser());
        if (user != null) {
            List<String> roles = this.personRepository.getRoles(user.getId());
            HttpServletRequest wrappedRequest = new RequestWrapper(httpRequest, user, roles);
            chain.doFilter(wrappedRequest, httpResponse);
        } else {
            httpResponse.sendRedirect(httpRequest.getContextPath() + "/NoAccess.html");
        }
    }
}

身份验证有效，并且在 Controller 内，我可以执行 request.getUserPrincipal() 和 request.isUserInRole("SYSTEM_ADMIN") 并且它们正确返回。现在我想向应用程序添加授权。我想在我的 Controller 方法上使用 JSR-250 @RolesPermissed 注释来应用授权规则；我不想在单独的配置文件/类中列出所有规则。 Controller 示例:

@RestController
@RequestMapping("/people")
public class PersonController {

    ...

    @RolesAllowed({Role.SYSTEM_ADMIN, Role.DEPARTMENT_ADMIN, Role.SYSTEM_AUDITOR, Role.AUDITOR})
    @RequestMapping
    public List<Person> listPeople(HttpServletRequest request) {
        return this.personRepository.getPeople();
    }
}

当然，这本身没有任何作用，因此我添加了一个带有 @EnableWebSecurity 和 @EnableGlobalMethodSecurity(jsr250Enabled = true) 的配置类。现在，当我点击该资源时，我收到错误org.springframework.security.authentication.AuthenticationCredentialsNotFoundException:在SecurityContext中找不到身份验证对象。很公平，所以我按照 https://gist.github.com/virgium03/86938e43219bc28632d0 中的示例进行操作但我不断收到同样的错误。似乎过滤器永远不会添加到过滤器链中。

我读过很多教程和帖子，但它们几乎都说同样的事情，但对我不起作用。我一定缺少一些简单的东西 - 毕竟，所有信息都可供 Spring Security 做出授权决策。有可能(可能？)我在这里遗漏了一些简单的东西。非常感谢所有帮助!

编辑

我已将以下代码添加到我的 SecurityFilter 类中以填充 Spring 安全上下文。它有效，但我觉得这不是理想的解决方案。

List<GrantedAuthority> authorities = roles.stream()
        .map(SimpleGrantedAuthority::new)
        .collect(Collectors.toList());
PreAuthenticatedAuthenticationToken auth = new PreAuthenticatedAuthenticationToken(user, "", authorities);
auth.setDetails(new WebAuthenticationDetails(wrappedRequest));
auth.setAuthenticated(true);
SecurityContextHolder.getContext().setAuthentication(auth);

最佳答案

问题出在配置的身份验证提供程序上。您正在使用PreAuthenticatedAuthenticationProvider 它从authenticate 方法返回现有的身份验证 token 。因此，如果主体为空，那么它会忽略请求并让其他提供者对其进行身份验证。

authenticate

public Authentication authenticate(Authentication authentication) throws AuthenticationException Authenticate the given PreAuthenticatedAuthenticationToken. If the principal contained in the authentication object is null, the request will be ignored to allow other providers to authenticate it.

基本上，您需要配置另一个 AuthenticationProvider，它将生成身份验证 token 并在 SecurityContext 中设置此 token 。

关于java - 使用 JSR-250 (@RolesAllowed) 注释 Spring MVC 和容器身份验证，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41627135/

25

4

0

文章推荐： nsarray - 过滤数组 : predicate? block ？

文章推荐： r - 在 R 中通配数据框或其他对象

文章推荐： java - Canvas onDraw 是否定时？

javascript - 单击 [提交] -> 隐藏 DIV 容器 1 -> 显示 DIV 容器 2 -> 加载在 DIV 容器 2 中的 .PHP 文件中找到的 DIV
这是我想做的 1 - 点击提交 2 - 隐藏 DIV 容器 1 3 - 显示 DIV 容器 2 4 - 将“PricingDisclaimer.php”中找到的所有 DIV 加载到 Div 容器 2
ios - 如何访问另一个应用程序的 iCloud 容器(使用另一个开发人员配置文件开发的应用程序和在该配置文件中创建的 icloud 容器)？
我有一个 ios 应用程序，它使用 iCloudcontainer 来保存用户的一些数据，例如用户的“到期日期”。我要用不同的方式创建应用程序的副本开发者账号。我要将用户从第一个应用程序迁移到第二个应
docker - 如何从一个 docker 容器 ssh 到另一个 docker 容器？
这是场景。我有三个容器。 Container1、container2 和 container3(基于 Ubuntu 的镜像)，其中 container2 充当容器 1 和容器 2 之间的路由器。我
java - 容器是什么意思？ Web 容器、JSP 容器还是 Spring 容器？
关闭。这个问题需要多问focused 。目前不接受答案。想要改进此问题吗？更新问题，使其仅关注一个问题 editing this post . 已关闭 9 年前。 Improve this ques
docker - Jenkins:从与代理(另一个 Docker 容器)一起运行的阶段连接到 Docker 容器
我正在改造管道以使用声明式管道方法，以便我能够 to use Docker images在每个阶段。目前我有以下工作代码，它执行连接到在 Docker 容器中运行的数据库的集成测试。 node {
java - 部署到 Web 容器、捆绑 Web 容器或嵌入 Web 容器
我正在开发一个需要尽可能简单地为最终用户安装的应用程序。虽然最终用户可能是经验丰富的 Linux 用户(或销售工程师)，但他们对 Tomcat、Jetty 等并不真正了解，我认为他们也不应该了解。所
kubernetes - 无法获取cpu pod指标，k8s-容器-容器-shim-runsc-v1-gvisor
我从gvisor-containerd-shim(Shim V1)移到了containerd-shim-runsc-v1(Shim V2)。在使用gvisor-containerd-shim的情况下，
docker-compose - docker 容器 A 可以使用什么 URL 访问另一个 docker 容器 B(相同的开发机器，不同的项目)
假设我们只在某些开发阶段很少需要这样做(冒烟测试几个 api 调用)，让项目 Bar 中的 dockerized web 服务访问 Project Foo 中的 dockerized web 服务的最
docker - 使用 Windows 容器(而不是 Linux 容器)时如何在 Docker for Windows 10 中创建数据卷
各位，我的操作系统是 Windows 10，运行的是 Docker 版本 17.06.0-ce-win19。我在 Windows 容器中运行 SQL Server Express，并且希望将 SQL
Azure 容器
谁能告诉我，为什么我们不能在 Azure 存储中的容器内创建容器？还有什么方法可以处理，我们需要在 azure 存储中创建目录层次结构？最佳答案您无法在容器中创建容器，因为 Windows Azu
另一个容器内的c++容器
#include template struct Row { Row() { puts("Row default"); } Row(const Row& other) { puts
tomcat - 容器
按照目前的情况，这个问题不适合我们的问答形式。我们希望答案得到事实、引用或专业知识的支持，但这个问题可能会引发辩论、争论、投票或扩展讨论。如果您觉得这个问题可以改进并可能重新打开，visit the
06、RDF 容器
RDF容器用于描述一组事物例如，把一本书的所有作者列在一起 RDF容器有三种类型： <Bag> <Seq> <Alt> <rdf:
仅当基础类型执行相等时才实现相等的 F# 容器
编辑:从到目前为止添加的答案和评论看来，我没有正确解释我想要什么。下面是一个例子: // type not supporting any type of comparison [] [] type b
php - 有没有办法在子进程中传递服务/容器？
我正在测试 spatie 的异步项目。我创建了一个这样的任务。 use Spatie\Async\Task; class ServiceTask extends Task { protecte
Azure Blob 容器
我想使用 Azure Blob 存储来上传和下载文档。有一些公司可以上传和下载他们的文档。我想保证这些文件的安全。这意味着公司只能看到他们的文件。不是别人的。我可以在 blob 容器中创建多个文件夹
Azure 容器 - 与远程容器实例上的文件交互
我正在尝试与 Azure 中的容器实例进行远程交互。我已执行以下步骤: 已在本地注册表中加载本地镜像 docker load -i ima.tar 登录远程 ACR docker登录--用户名--密码
docker - 带有Dockerfile项目的Dokku多进程(容器)
我正在研究http://progrium.viewdocs.io/dokku/process-management/，并试图弄清楚如何从单个项目中运行多个服务。我有一个Dockerfile的仓库:
依赖于其他容器中的文件的 Docker 容器
我有一个想要容器化的单体应用程序。文件夹结构是这样的: --app | |-file.py <-has a variable foo that is passed in --configs
保留数据的 Docker 容器
我正在学习 Docker，并且一直在为 Ubuntu 容器制作 Dockerfile。我的问题是我不断获取不同容器之间的持久信息。我已经退出，移除了容器，然后移除了它的图像。在对 Dockerfil

首页

博学

6Ren·AI

商城

java - 使用 JSR-250 (@RolesAllowed) 注释 Spring MVC 和容器身份验证