Spring Security 3.1.4 taglib авторизация / аутентификация не работают с иерархией ролей в JSF 2.2 на Tomcat 7
Роль roleHeirarchies учитывается для выражений веб-безопасности, определенных как URL-адреса перехвата через пространство имен http, но не в выражениях, использующих библиотеку тегов JSP Authorize.
Я уже много читаю ...ref1 ref2 REF3 REF4 REF5 ref6
****РЕДАКТИРОВАТЬ:****Ref1 и Ref6 упоминают материалы о проблеме с порядком фильтров и контекстом безопасности, недоступным в jsp ... (кстати, я использую jsf2), возможно, есть что-то, чтобы копать ...
РЕДАКТИРОВАТЬ 2: JSF обрабатывает тег безопасности lib? Я читаюэто и попробоватьэто без успеха
РЕДАКТИРОВАТЬ 3: : Я пытался установить с помощью Maven Spring-Faces 2.3.2 и Spring-Security-TagLib ... ничего не происходит ... Некоторые Туто сказал, чтобы создать собственный taglib.xml, но это тоже не сработало, я думаю, что это было для старая версия ...
Я проверил это FaceConContext.externalContext.isUserInRole ('ROLE') и sec: authorize access = "hasRole ('Role') ... Первый работает, только если это тот же ROLE, но это не принимает во внимание вещи иерархии ... И sec: авторизировать просто ничего не делать, все роли напечатаны.
Посмотрите пример выше с пользователем ROLE ROLE_ADMIN_PROFILER_NGS:
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_ADMIN_PROFILER_NGS')}" value ="ROLE_ADMIN_PROFILER_NGS"></h:outputText> // WORKS <br></br>
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_GUEST')}" value ="ROLE_GUEST"></h:outputText> // SHOULD APPEAR BUT NOTHING HAPPENS<br></br>
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_ADMIN')}" value ="ROLE_ADMIN"> // SHOULD NOT APPEAR AND THAT'S THE CASE</h:outputText><br></br>
/* ALL THE THREE NEXT ARE DISPLAYED WHITHOUT CONTROL AUTORIZATION.*/
<sec:authorize access="hasRole('ROLE_ADMIN_PROFILER_NGS')">ROLE_ADMIN_PROFILER_NGS<br></br></sec:authorize>
<sec:authorize access="hasRole('ROLE_GUEST')">ROLE_GUEST <br></br></sec:authorize>
<sec:authorize access="hasRole('ROLE_ADMIN')">ROLE_ADMIN <br></br></sec:authorize>
Это то, к чему я пытался получить доступ для тестирования с помощью роли иерархии:
Когда пользователь приходит только с ролью GUEST ... Отображаются все теги ... они не должны появляться, должен отображаться только GUEST (см. Определение внизу):
<sec:authentication property="username" />
<sec:authorize access="hasRole('ROLE_BABAB')">BABA</sec:authorize>
<sec:authorize access="hasRole('ROLE_GUEST')">GUEST</sec:authorize>
<sec:authorize access="hasRole('ROLE_ADMIN')">ADMIN</sec:authorize>
Это моя конфигурация безопасности:
<security:http auto-config="true" access-decision-manager-ref="accessDecisionManager" use-expressions="true" disable-url-rewriting="true">
<security:intercept-url pattern="/Participant/New/*" access="hasRole('ROLE_ADMIN')" />
<security:intercept-url pattern="/Home" access="hasRole('ROLE_GUEST')" />
<security:intercept-url pattern="/Login" access="hasRole('ROLE_ANONYMOUS')" />
<security:intercept-url pattern="/Login/Error" access="hasRole('ROLE_ANONYMOUS')" />
<security:form-login login-page="/Login" login-processing-url="/j_spring_security_check" authentication-failure-url="/Login/Error" default-target-url="/Home" />
<security:logout logout-url="/j_spring_security_logout" logout-success-url="/Home" delete-cookies="JSESSIONID" invalidate-session="true"/>
<security:anonymous/>
<security:expression-handler ref="defaultWebSecurityExpressionHandler" />
<security:session-management invalid-session-url="/Login" >
<security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</security:session-management>
<security:port-mappings>
<security:port-mapping http="8086" https="8443"/>
</security:port-mappings>
</security:http>
<beans:bean id="defaultWebSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
<beans:property name="roleHierarchy" ref="roleHierarchy"/>
</beans:bean>
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:ref bean="roleVoter" />
<beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
<beans:property name="expressionHandler" ref="defaultWebSecurityExpressionHandler"/>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter">
<beans:constructor-arg ref="roleHierarchy" />
</beans:bean>
<beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
<beans:property name="hierarchy">
<beans:value>
ROLE_ADMIN > ROLE_ADMIN_PROFILER_NGS
ROLE_ADMIN_PROFILER_NGS > ROLE_GUEST
ROLE_GUEST > ROLE_GUEST_PROFILER_NGS
ROLE_ADMIN > ROLE_ADMIN_PROFILER_CGH
ROLE_ADMIN_PROFILER_CGH > ROLE_GUEST
ROLE_GUEST > ROLE_GUEST_PROFILER_CGH
</beans:value>
</beans:property>
</beans:bean>
Большое спасибо, пожалуйста, если у вас есть другая идея для тестирования ...
РЕДАКТИРОВАТЬ 3:
Почему он возвращает 0 для RoleHierarchyVoter и 1 для WebExpressionVoter ... это нормально?
14: 48: 32,861 DEBUG FilterSecurityInterceptor: 194 - Защищенный объект: FilterInvocation: URL: / Home; Атрибуты: [hasRole ('ROLE_GUEST')] 14: 48: 32,861 DEBUG FilterSecurityInterceptor отладки: 310 - Ранее аутентифицировано: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@43a64f5f: Principal: com.clb.mo.User.lyonly : Имя пользователя: jp; Пароль защищен]; Включено: правда; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Предоставленные полномочия: ROLE_ADMIN_PROFILER_NGS; Полномочия: [ЗАЩИЩЕНО]; Аутентифицировано: правда; Подробности: org.springframework.security.web.authentication.WebAuthenticationDetails@0: RemoteIpAddress: 192.168.154.18; SessionId: 084939D4E097F41ACA6A1F24CD8390BE; Предоставленные полномочия: ROLE_ADMIN_PROFILER_NGS 14: 48: 32,861 DEBUG RoleHierarchyImpl: 117 - getReachableGrantedAuthorities () - из ролей [ROLE_ADMIN_PROFILER_NGS] можно получить [ROLE_GUEST_PROFILER_GLE_RG_PLE_RG_RG_RG_RG_RG_RG_RG_RG_RG_RG_RF_RG_RF_RG_RG_RUS 14: 48: 32,861 Утверждение отладки Основано: 65 - Избиратель: org.springframework.security.access.vote.RoleHierarchyVoter@6ff43d69, возвращено: 0 14: 48: 32,862 Отладочная роль RoleHierarchyImpl: 117 - getReachableGrantedAuthorities_OILING_RING_OF_NORG_NORG_RING_FL_RING_FL_RING_S_F_RING_S_FIL_NORG_RING_FIN_F_N_RF может достигать [ROLE_GUEST_PROFILER_NGS, ROLE_GUEST_PROFILER_CGH, ROLE_ADMIN_PROFILER_NGS, ROLE_GUEST] за ноль или более шагов. 14: 48: 32,862 ОТЛАДКА Утвердительно Основано: 65 - Избиратель: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5, возвращено: 1 14: 48: 32,862 DEBUG FilterSecurityInterceptor: 215 - Авторизация успешна
РЕДАКТИРОВАТЬ 5:
<beans:bean id="login" class="com.clb.genomic.lyon.beans.LoginBean" scope ="session">
<beans:property name="authenticationManager" ref="authenticationManager" />
</beans:bean>
> <security:authentication-manager alias="authenticationManager">
> <security:authentication-provider user-service-ref="userBo" >
> <security:password-encoder ref="standardPasswordEncoder"/>
> </security:authentication-provider>
> </security:authentication-manager>