Wie verwende ich benutzerdefinierte Rollen/Behörden in Spring Security?

Während der Migration einer legacy-Anwendung auf spring security bekam ich die folgende Ausnahme:

org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainProxy': Initialization of bean failed; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterChainList': Cannot resolve reference to bean '_filterSecurityInterceptor' while setting bean property 'filters' with key [3]; nested exception is org.springframework.beans.factory.BeanCreationException: Error creating bean with name '_filterSecurityInterceptor': Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [superadmin]
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:480)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory$1.run(AbstractAutowireCapableBeanFactory.java:409)
at java.security.AccessController.doPrivileged(Native Method)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:380)
at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:264)

In der alten Applikation, gibt es Rollen wie "superadmin", "editor", "helpdesk" etc. Aber in allen Spring Security-Beispiele sehe ich nur Rollen wie "ROLE_" ("ROLE_ADMIN" etc). Wenn ich umbenennen "superadmin" , "ROLE_ADMIN" und verwenden Sie nur diese Rolle in der config funktioniert alles.

Nicht funktioniert:

 <http auto-config="true">                                      
    <intercept-url pattern="/restricted/**" access="superadmin"/>
    <form-login
        authentication-failure-url="/secure/loginAdmin.do?error=true"
        login-page="/secure/loginAdmin.do" />        
</http>

Funktioniert:

<http auto-config="true">                                      
    <intercept-url pattern="/restricted/**" access="ROLE_ADMIN"/>
    <form-login
        authentication-failure-url="/secure/loginAdmin.do?error=true"
        login-page="/secure/loginAdmin.do" />        
</http>

Ist möglich, verwenden Sie benutzerdefinierte Rollen-Namen?

InformationsquelleAutor der Frage D. Wroblewski | 2009-06-12

  1. 39

    Sind Sie mit der Standardkonfiguration, die erwartet, dass Rollen beginnt mit der "ROLE_" Präfix. Haben Sie hinzufügen, um eine benutzerdefinierte Sicherheitskonfiguration und-set rolePrefix"";

    http://forum.springsource.org/archive/index.php/t-53485.html

    InformationsquelleAutor der Antwort rodrigoap

  2. 11

    Hier ist eine komplette Konfiguration mit access-Ausdrücke (der link von @rodrigoap scheint ein bisschen veraltet):

    <http
        access-decision-manager-ref="accessDecisionManager"
        use-expressions="true">

<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:property name="decisionVoters">
        <beans:list>
            <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter"/>
            <beans:bean class="org.springframework.security.access.vote.RoleVoter">
                <beans:property name="rolePrefix" value=""/>
            </beans:bean>
            <beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
        </beans:list>
    </beans:property>
</beans:bean>

    InformationsquelleAutor der Antwort Tomasz Nurkiewicz

  3. 7

    Können Sie immer auch mit Ausdruck (durch config use-expressions="true") zu ignorieren ROLE_ Präfix.

    Nach der Lektüre Spring Security 3.1-source-code habe ich gefunden, wenn use-expressions="true" :

    Für <security:http >:

    HttpConfigurationBuilder#createFilterSecurityInterceptor() wird regist WebExpressionVoter aber nicht RoleVoterAuthenticatedVoter;

    Für <security:global-method-security >: GlobalMethodSecurityBeanDefinitionParser#registerAccessManager() wird regist PreInvocationAuthorizationAdviceVoter (bedingt), dann immer regist RoleVoterAuthenticatedVoterregist Jsr250Voter bedingt;

    PreInvocationAuthorizationAdviceVoter verarbeiten PreInvocationAttribute (PreInvocationExpressionAttribute wird als implementation), die generiert wird nach @PreAuthorize. PreInvocationExpressionAttribute#getAttribute() immer null zurück, so RoleVoterAuthenticatedVoter nicht zu Stimmen.

    InformationsquelleAutor der Antwort btpka3

  4. 2

    Mit Spring Security 3.2das für mich gearbeitet.

    Rolle Ändern, Präfix:

    <beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
    <beans:property name="rolePrefix" value="NEW_PREFIX_"/>
</beans:bean>

<beans:bean id="authenticatedVoter" class="org.springframework.security.access.vote.AuthenticatedVoter"/>   

<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:constructor-arg >
        <beans:list>
            <beans:ref bean="roleVoter"/>
            <beans:ref bean="authenticatedVoter"/>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>

    Je nachdem, wo Sie wollen, übernehmen die Rolle Präfix können angewandt werden, um die Sicherheit der schema-Ebene oder auf bean-Ebene.

    <http access-decision-manager-ref="accessDecisionManager" use-expressions="true">

    Anwenden Rolle Präfix auf Service-Ebene:

    <beans:bean id="myService" class="com.security.test">
    <security:intercept-methods  access-decision-manager-ref="accessDecisionManager">
        <security:protect access="NEW_PREFIX_ADMIN"/>
    </security:intercept-methods>
</beans:bean>

    InformationsquelleAutor der Antwort user2601995

  5. 1

    Dies könnte auch helfen:

    http://forum.springsource.org/showthread.php?96391-Spring-Security-Plug-in-ROLE_-prefix-mandatory

    Bassically, es sagt, Sie haben zu schreiben in grails-app/conf/spring/Ressourcen.groovy:

    roleVoter(org.springframework.security.access.vote.RoleVoter) {
    rolePrefix = ''
}

    Es funktionierte für mich.

    InformationsquelleAutor der Antwort Tomas Romero

Schreibe einen Kommentar