VIKEnut'
VIKEnut'
RegistrarseIniciar sesión

Es

RuPlDePt
 
springspring-security

PreAuthorize no funciona

Estoy escribiendo una aplicación de servidor de socket (¡ninguna aplicación web!) Y quiero usar seguridad basada en métodos para manejar mis necesidades de ACL. Seguí un pequeño tutorial que encontréseguridad de primavera por ejemplo

hasta ahora he configurado:

<security:global-method-security pre-post-annotations="enabled">
    <security:expression-handler ref="expressionHandler" />
</security:global-method-security>
<bean id="expressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
    <property name="permissionEvaluator">
        <bean id="permissionEvaluator" class="myPermissionEvaluator" />
    </property>
</bean>

<security:authentication-manager id="authenticationmanager">
    <security:authentication-provider ref="authenticationprovider" />
</security:authentication-manager>
<bean id="authenticationprovider" class="myAuthenticationProvider" />

Con un bean de servicio:

@Named
public class ChannelService {
    @PreAuthorize("isAuthenticated() and hasPermission(#channel, 'CHANNEL_WRITE')")
    public void writeMessage(Channel channel, String message) { ... }
}

Todo se compila y la aplicación se inicia y funciona bien, pero sin control de acceso. Mi registro de depuración muestra que nunca se llama a mi Evaluador.

Cuando probé algo similar con un@Secured&nbsp;anotación se evaluó la anotación y se denegó el acceso. Pero la seguridad simple basada en roles no es suficiente para mis requerimientos.

EDITAR&nbsp;hice algunas pruebas más: cuando configuro solo anotaciones seguras = "habilitado", la seguridad basada en roles funciona. cuando se configuran las anotaciones previas posteriores a la anotación = "habilitado" en ADDICIÓN, ni los trabajos protegidos ni los autorizados previamente. cuando configuro solo las anotaciones previas a la publicación, todavía no funciona.

EDIT2

Algunas pruebas más: con solo secured_annotations = "habilitado", la llamada a mi servicio de canales pasa por Cglib2AopProxy tan pronto como activo las anotaciones previas, la llamada llega directamente al servicio de canales. Sin interceptor, sin proxy, nada.

Me estoy poniendo un poco desesperado ...

EDITAR3

Debug-loged mis pruebas de prueba aquí es la parte de seguridad de primavera

con solo anotaciones seguras = "habilitado"

2012-04-12 13:36:46,171 INFO  [main] o.s.s.c.SpringSecurityCoreVersion - You are running with Spring Security Core 3.1.0.RELEASE
2012-04-12 13:36:46,174 INFO  [main] o.s.s.c.SecurityNamespaceHandler - Spring Security 'config' module version is 3.1.0.RELEASE
2012-04-12 13:36:49,042 DEBUG [main] o.s.s.a.m.DelegatingMethodSecurityMetadataSource - Caching method [CacheKey[mystuff.UserService; public void mystuff.UserService.serverBan(java.lang.String,mystuff.models.User,org.joda.time.DateTime)]] with attributes [user]
2012-04-12 13:36:49,138 DEBUG [main] o.s.s.a.i.a.MethodSecurityInterceptor - Validated configuration attributes
2012-04-12 13:36:49,221 DEBUG [main] o.s.s.a.m.DelegatingMethodSecurityMetadataSource - Caching method [CacheKey[mystuff.ChannelService; public void mystuff.ChannelService.writeMessage(mystuff.models.Channel,java.lang.String)]] with attributes [blubb]
2012-04-12 13:36:51,159 DEBUG [main] o.s.s.a.ProviderManager - Authentication attempt using mystuff.GlobalchatAuthenticationProvider
2012-04-12 13:36:56,166 DEBUG [Timer-1] o.s.s.a.ProviderManager - Authentication attempt using mystuff.GlobalchatAuthenticationProvider
2012-04-12 13:36:56,183 DEBUG [Timer-1] o.s.s.a.i.a.MethodSecurityInterceptor - Secure object: ReflectiveMethodInvocation: public void mystuff.ChannelService.writeMessage(mystuff.models.Channel,java.lang.String); target is of class [mystuff.ChannelService]; Attributes: [blubb]
2012-04-12 13:36:56,184 DEBUG [Timer-1] o.s.s.a.i.a.MethodSecurityInterceptor - Previously Authenticated: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@312e8aef: Principal: mystuff.UserId@ced1752b; Credentials: [PROTECTED]; Authenticated: true; Details: null; Not granted any authorities
Exception in thread "Timer-1" org.springframework.security.access.AccessDeniedException: Access is denied
    at org.springframework.security.access.vote.AbstractAccessDecisionManager.checkAllowIfAllAbstainDecisions(AbstractAccessDecisionManager.java:70)
    at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:88)
    at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:205)
    at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:59)
    at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)
    at org.springframework.aop.framework.Cglib2AopProxy$DynamicAdvisedInterceptor.intercept(Cglib2AopProxy.java:622)
    at mystuff.ChannelService$$EnhancerByCGLIB$$3ad5e57f.writeMessage(<generated>)
    at mystuff.run(DataGenerator.java:109)
    at java.util.TimerThread.mainLoop(Timer.java:512)
    at java.util.TimerThread.run(Timer.java:462)
2012-04-12 13:36:56,185 DEBUG [Timer-1] o.s.s.access.vote.AffirmativeBased - Voter: org.springframework.security.access.vote.RoleVoter@1cfe174, returned: 0
2012-04-12 13:36:56,185 DEBUG [Timer-1] o.s.s.access.vote.AffirmativeBased - Voter: org.springframework.security.access.vote.AuthenticatedVoter@da89a7, returned: 0

con pre-post-anotaciones = "habilitado"

2012-04-12 13:39:54,926 INFO  [main] o.s.s.c.SpringSecurityCoreVersion - You are running with Spring Security Core 3.1.0.RELEASE
2012-04-12 13:39:54,929 INFO  [main] o.s.s.c.SecurityNamespaceHandler - Spring Security 'config' module version is 3.1.0.RELEASE
2012-04-12 13:39:54,989 INFO  [main] o.s.s.c.m.GlobalMethodSecurityBeanDefinitionParser - Using bean 'expressionHandler' as method ExpressionHandler implementation
2012-04-12 13:39:59,812 DEBUG [main] o.s.s.a.ProviderManager - Authentication attempt mystuff.GlobalchatAuthenticationProvider
2012-04-12 13:39:59,850 DEBUG [main] o.s.s.a.i.a.MethodSecurityInterceptor - Validated configuration attributes

Por lo que entiendo, esta primavera de salida de registro no se da cuenta de que mis beans tienen que ser proxy, por lo que no lo son, por lo que no tengo seguridad.

EDITAR 4

Debug-logedicé el inicio completo de Sprint ... (eso es un gran registro) y ahí encuentro:

2012-04-12 14:40:41,385 INFO [main] o.s.c.s.ClassPathXmlApplicationContext - Bean 'channelService' of type [class mystuff.ChannelService] is not eligible for getting processed by all BeanPostProcessors (for example: not eligible for auto-proxying)

¿hay una manera de averiguar por qué? Porque hasta donde yo lo entiendo. debido a @preauthorize el bean debe ser elegible. con solo anotaciones seguras = "habilitado" obtengo un registro de procesamiento posterior.

Deja tu comentario

Respuestas a la pregunta(2)

Su respuesta a la pregunta

Preguntas populares

0 la respuesta

Búsqueda de árbol binario recursivo

0 la respuesta

Desbordamiento de texto: puntos suspensivos en la tabla-celda sin ancho

0 la respuesta

Rails: no se puede ejecutar la aplicación: no se puede cargar la extensión EventMachine C;

0 la respuesta

iOS calcula la altura del texto en la celda tableView

0 la respuesta

Ejecutando msys.bat usando ProcessBuilder