PreAuthorize funktioniert nicht
Ich schreibe eine Socket-Server-Anwendung (keine Webanwendung!) Und möchte methodenbasierte Sicherheit verwenden, um meine ACL-Anforderungen zu erfüllen. Ich folgte einem kleinen Tutorial, das ich gefunden habeFedersicherheit am Beispiel
Bisher habe ich konfiguriert:
<code><security:global-method-security pre-post-annotations="enabled"> <security:expression-handler ref="expressionHandler" /> </security:global-method-security> <bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler"> <property name="permissionEvaluator"> <bean id="permissionEvaluator" class="myPermissionEvaluator" /> </property> </bean> <security:authentication-manager id="authenticationmanager"> <security:authentication-provider ref="authenticationprovider" /> </security:authentication-manager> <bean id="authenticationprovider" class="myAuthenticationProvider" /> </code>
Mit einer Servicebohne:
<code>@Named public class ChannelService { @PreAuthorize("isAuthenticated() and hasPermission(#channel, 'CHANNEL_WRITE')") public void writeMessage(Channel channel, String message) { ... } } </code>
Alles wird kompiliert und die Anwendung wird gestartet und funktioniert einwandfrei, jedoch ohne Zugriffskontrolle. Mein Debug-Protokoll zeigt, dass mein Evaluator niemals aufgerufen wird.
Als ich mit a@Secured
Anmerkung Die Anmerkung wurde ausgewertet und der Zugriff verweigert. Eine einfache rollenbasierte Sicherheit ist jedoch nicht ausreichend für meine Anforderungen.
BEARBEITEN habe noch ein paar tests gemacht: wenn ich nur secure-annotations = "enabled" konfiguriere, funktioniert die rollenbasierte sicherheit. Wenn Sie in ADDITION pre-post-annotations = "enabled" konfigurieren, funktioniert weder das Sichern noch das Vorautorisieren. Wenn ich nur Pre-Post-Annotationen konfiguriere, funktioniert es immer noch nicht.
EDIT2
einige weitere tests: mit only secured_annotations = "enabled" geht der aufruf an meinen channelservice über den cglib2aopproxy, sobald ich pre-post-annotations aktiviere, landet der aufruf direkt im channelservice. Kein Abfangjäger, kein Proxy, nichts.
Ich werde irgendwie verzweifelt ...
EDIT3
Ich habe meine Testruns debug-geloggt, hier ist der Teil für die Frühlingssicherheit
mit nur gesicherten Anmerkungen = "aktiviert"
<code>2012-04-12 13:36:46,171 INFO [main] o.s.s.c.SpringSecurityCoreVersion - You are running with Spring Security Core 3.1.0.RELEASE 2012-04-12 13:36:46,174 INFO [main] o.s.s.c.SecurityNamespaceHandler - Spring Security 'config' module version is 3.1.0.RELEASE 2012-04-12 13:36:49,042 DEBUG [main] o.s.s.a.m.DelegatingMethodSecurityMetadataSource - Caching method [CacheKey[mystuff.UserService; public void mystuff.UserService.serverBan(java.lang.String,mystuff.models.User,org.joda.time.DateTime)]] with attributes [user] 2012-04-12 13:36:49,138 DEBUG [main] o.s.s.a.i.a.MethodSecurityInterceptor - Validated configuration attributes 2012-04-12 13:36:49,221 DEBUG [main] o.s.s.a.m.DelegatingMethodSecurityMetadataSource - Caching method [CacheKey[mystuff.ChannelService; public void mystuff.ChannelService.writeMessage(mystuff.models.Channel,java.lang.String)]] with attributes [blubb] 2012-04-12 13:36:51,159 DEBUG [main] o.s.s.a.ProviderManager - Authentication attempt using mystuff.GlobalchatAuthenticationProvider 2012-04-12 13:36:56,166 DEBUG [Timer-1] o.s.s.a.ProviderManager - Authentication attempt using mystuff.GlobalchatAuthenticationProvider 2012-04-12 13:36:56,183 DEBUG [Timer-1] o.s.s.a.i.a.MethodSecurityInterceptor - Secure object: ReflectiveMethodInvocation: public void mystuff.ChannelService.writeMessage(mystuff.models.Channel,java.lang.String); target is of class [mystuff.ChannelService]; Attributes: [blubb] 2012-04-12 13:36:56,184 DEBUG [Timer-1] o.s.s.a.i.a.MethodSecurityInterceptor - Previously Authenticated: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@312e8aef: Principal: mystuff.UserId@ced1752b; Credentials: [PROTECTED]; Authenticated: true; Details: null; Not granted any authorities Exception in thread "Timer-1" org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AbstractAccessDecisionManager.checkAllowIfAllAbstainDecisions(AbstractAccessDecisionManager.java:70) at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:88) at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:205) at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:59) at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172) at org.springframework.aop.framework.Cglib2AopProxy$DynamicAdvisedInterceptor.intercept(Cglib2AopProxy.java:622) at mystuff.ChannelService$$EnhancerByCGLIB$$3ad5e57f.writeMessage(<generated>) at mystuff.run(DataGenerator.java:109) at java.util.TimerThread.mainLoop(Timer.java:512) at java.util.TimerThread.run(Timer.java:462) 2012-04-12 13:36:56,185 DEBUG [Timer-1] o.s.s.access.vote.AffirmativeBased - Voter: org.springframework.security.access.vote.RoleVoter@1cfe174, returned: 0 2012-04-12 13:36:56,185 DEBUG [Timer-1] o.s.s.access.vote.AffirmativeBased - Voter: org.springframework.security.access.vote.AuthenticatedVoter@da89a7, returned: 0 </code>
mit Pre-Post-Annotationen = "aktiviert"
<code>2012-04-12 13:39:54,926 INFO [main] o.s.s.c.SpringSecurityCoreVersion - You are running with Spring Security Core 3.1.0.RELEASE 2012-04-12 13:39:54,929 INFO [main] o.s.s.c.SecurityNamespaceHandler - Spring Security 'config' module version is 3.1.0.RELEASE 2012-04-12 13:39:54,989 INFO [main] o.s.s.c.m.GlobalMethodSecurityBeanDefinitionParser - Using bean 'expressionHandler' as method ExpressionHandler implementation 2012-04-12 13:39:59,812 DEBUG [main] o.s.s.a.ProviderManager - Authentication attempt mystuff.GlobalchatAuthenticationProvider 2012-04-12 13:39:59,850 DEBUG [main] o.s.s.a.i.a.MethodSecurityInterceptor - Validated configuration attributes </code>
Soweit ich verstehe, erkennt diese Protokollausgabefrühling nicht, dass meine Bohnen Proxy sein müssen, also sind sie es nicht und deshalb bekomme ich keine Sicherheit.
EDIT4
Ich habe das komplette Sprint-Startup debug-protokolliert ... (das ist ein großes Protokoll) und dort finde ich:
<code>2012-04-12 14:40:41,385 INFO [main] o.s.c.s.ClassPathXmlApplicationContext - Bean 'channelService' of type [class mystuff.ChannelService] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying) </code>
Gibt es eine Möglichkeit herauszufinden, warum? denn soweit ich es verstehe. Aufgrund von @preauthorize sollte die Bean berechtigt sein. nur mit secure-annotations = "enabled" erhalte ich ein nachverarbeitungsprotokoll.