Anleitung zur Integration von Spring Security und Struts2

Habe ich getan Tonnen googeln zu diesem Problem und bis jetzt konnte ich keine finden-tutorial über die Integration von Struts2 und Spring Security.

Meine Frage ist, dass, Wie würde ich integrieren, Spring Security und Struts2?

Wo ich will, bestimmte Aktionen oder Seiten eingeschränkt werden, wie die admin-Seite/url soll aufgerufen werden, nur von einem administrator und andere Dinge wie, dass, wenn ein Benutzer versucht, auf die zugegriffen, die Seite, er oder Sie wäre zu einer anderen Seite umgeleitet.

  • Und mit was genau du Probleme?
  • Ich habe keine Ahnung, wo Sie beginnen, ein einfaches Beispiel aus dem Boden tun würde.
  • Folgen Sie einfach einige spring-security tutorial/Beispiel.
  • würde nicht es ändern, um Struts2 Action-Klassen? oder struts2.xml? würde ich nur wirklich einen security.xml?
InformationsquelleAutor user962206 | 2013-01-15
  1. 7

    Lassen Sie uns sagen, müssen Sie sicher, was ist zugänglich auf der /admin/* Weg. Sie müssen erklären, die Spring-Security-Filter in Ihrem web.xml wird die Struts-filter kommen sollte, nachdem, so dass, wenn Sie Zugriff auf /admin es wird Frühling Sicherheit, dass die Anfrage verarbeiten der ersten und wird in der Lage sein, es zu lassen, durchgelassen oder blockiert, abhängig von der Rolle des Benutzers: 

    <filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/admin/*</url-pattern>
</filter-mapping>
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

    Du dann deklarieren Sie Ihre spring security-Kontext:

    <http>
    <intercept-url pattern="/*" filters="none" />
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />           
    <form-login login-page="/login" />
    <logout logout-url="/logout" />
</http>

    Schlage ich vor, dass Sie die struts2-convention plugin, so dass URLs wie /login automatisch gebunden, um eine Klasse mit sagen wir mal com.foo.bar.actions.LoginAction. Gleiche für LogoutAction

    Nun, was ist unter /admin/* sollte sichergestellt werden, dass durch Spring Security, und der rest sollte direkt weitergeleitet werden zu den Struts2-filter.

    Schließlich in Ihre JSP-Sie können überprüfen, ob jemand ein Admin mit:

    <sec:authorize access="hasRole('ROLE_ADMIN')">
   <p>you are an admin</p>
</sec:authorize>

    Den rest kann man in jedem Frühjahr Security tutorial. Was wirklich wichtig ist, ist die Reihenfolge der Filter Erklärung, spring security, müssen die ersten sein.

    Edit: die Suche auf google, es gibt auch dieser link, die eine Hilfe sein kann für Sie.

    • ich würde nicht kommentieren hasRole innerhalb einer action-Klasse?
    • Wenn Sie brauchen, um es in eine Java action-Klasse können Sie überprüfen, mit SecurityContextHolderAwareRequestWrapper.isUserInRole("ROLE_ADMIN")
    • gibt es irgendwelche tutorials über Anmerkungen? speziell für struts2?
    • es gibt ein plugin namens struts2-annotation: struts.apache.org/2.2.1/docs/struts-2-annotations.html und auch für spring security wie @PreAuthorize etc static.springsource.org/spring-security/site/docs/3.0.x/...
    • wenn ich laden Sie die struts2-annotation wird es automatisch zu haben, dass @PreAuthorize?
    • keine @PreAuthorize ist von spring security. Streben Anmerkungen sind @Action zum Beispiel.
    • muss ich nee andere jar für @PreAuthorize vielleicht wie Frühling-struts2 annotation? oder sowas in der Art?

    InformationsquelleAutor Alex
  2. 5

    Dies ist eigentlich sehr einfach - Spring Security ist ein web-framework Agnostiker 🙂

    Müssen Sie definieren, Spring Security filter-Kette - dies ist ein Java-Filter, die zugeordnet werden soll, alle Anforderungen. Der filter wird überprüft, ob der Pfad erfordert keine privilages und wenn ja, prüft ob der Benutzer angemeldet ist und hat diese privilages.

    Einfaches Beispiel-setup.

    web.xml ("einfügen", um Ihre bestehende, neben der struts-config):

    <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        classpath:META-INF/spring/applicationContext-security.xml
    </param-value>
</context-param>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

    Spring security-Konfiguration (in der Datei erwähnt web.xml in contextConfigLocation parameter):

    <?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
    http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<http pattern="/js/**" security="none" />
<http pattern="/css/**" security="none" />
<http pattern="/images/**" security="none" />

<http auto-config="false" use-expressions="true">
    <http-basic/>
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
    <session-management session-fixation-protection="newSession" />
</http>
</beans:beans>

    Können Sie erweitern diese, wie Sie wollen - Frühling in der Dokumentation ist ziemlich gut geschrieben

    Können Sie gehen zusammen ein noch einfacheres auto-config:

    <http auto-config='true'>
    <intercept-url pattern="/**" access="ROLE_USER" />
</http>

    Oben genannten Optionen sichern Sie sich Ihre web-app nach Wunsch Pfad. Möchten Sie vielleicht zum sichern der Aktionen als gut. Hinzufügen der unten würden Sie loslegen:

    <global-method-security secured-annotations="enabled" pre-post-annotations="enabled" proxy-target-class = "true" />

    Lassen Sie mich wissen, welche Funktionen Sie benötigen und ich kann Sie in eine Richtung. Beachten Sie, dass config-namespace ist kein Allheilmittel - wenn Sie brauchen eine sehr individuelle Lösung, müssen Sie möglicherweise konfigurieren Sie alle spring-beans selbst, aber in der Dokumentation erklärt dies gut.

    • I ' ll look into it Spring Security-ersten. dann werde ich wieder hier
    • spring doc link kaputt
    • Danke für den Tipp, jetzt aktualisiert. Sie haben die Migration der Dokumentation. Der link funktioniert jetzt.
    InformationsquelleAutor theadam
Schreibe einen Kommentar