@PreAuthorize не работает с правилами безопасности и параметрами метода

Я добавляю Spring Безопасность в один проект Spring. Архитектура системы - REST, и пользователь может получить доступ к разным ресурсам.

Я хотел бы предоставить доступ к личной информации администраторам и пользователям, которые являются владельцами этой информации. Я начал просто: отфильтровать профиль пользователя следующим образом:

В моем уровне службы я хотел использовать аннотации методов и включать параметры метода.

@PreAuthorize("hasRole('ROLE_ADMIN') or principal.userId == #id") public Usuario getUser(int id) throws DAOException { ... }

Но это совсем не работает. Любой пользователь может видеть все профили (админы и все пользователи) при запросе этого URL-адреса (Веб-уровень):

@RequestMapping(value="/user/{uid}", method=RequestMethod.GET) public ModelAndView getUser(@PathVariable int uid) throws DAOException { userDAO = new UsuarioJPADAO(); userService.setUsuarioDAO(userDAO); return new ModelAndView("user", "user", userService.getUser(uid)); }

Вот мой security.xml

<?xml version="1.0" encoding="UTF-8"?> <beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation=" http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd">  <global-method-security pre-post-annotations="enabled"/> <http auto-config="true" use-expressions="true"> <intercept-url pattern="/css/**" access="permitAll" /> <intercept-url pattern="/images/**" access="permitAll" /> <intercept-url pattern="/js/**" access="permitAll" /> <intercept-url pattern="/favicon.ico" access="permitAll" /> <intercept-url pattern="/login" access="permitAll" /> <intercept-url pattern="/users" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/users/page/*" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/customers" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/employees" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/search/*" access="hasRole('ROLE_ADMIN')" /> <intercept-url pattern="/*" access="hasAnyRole('ROLE_ADMIN, ROLE_EMPLOYEE, ROLE_PARTNER, ROLE_USER')" /> <intercept-url pattern="/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <intercept-url pattern="/*/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <intercept-url pattern="/*/*/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <intercept-url pattern="/*/*/*/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <intercept-url pattern="/*/*/*/*/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <intercept-url pattern="/*/*/*/*/*/*/*" access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" /> <form-login login-page="/login" login-processing-url="/doLogin" authentication-failure-url="/login?error" username-parameter="username" password-parameter="password" default-target-url="/default" /> <logout invalidate-session="true" logout-success-url="/login?logout" logout-url="/logout"/> </http> <authentication-manager> <authentication-provider user-service-ref="UsuarioService"> </authentication-provider> </authentication-manager>

Я проверил Spring Security 3.1 book и, по-видимому, моя конфигурация, как предлагает книга. Я прочитал другие сообщения о переполнении стека (здесь и здесь), но мне не повезло.

Обновление: Добавлено application-context.xml

<?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:p="http://www.springframework.org/schema/p" xmlns:aop="http://www.springframework.org/schema/aop" xmlns:tx="http://www.springframework.org/schema/tx" xmlns:mvc="http://www.springframework.org/schema/mvc" xmlns:security="http://www.springframework.org/schema/security" xmlns:context="http://www.springframework.org/schema/context" xmlns:jee="http://www.springframework.org/schema/jee" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd http://www.springframework.org/schema/aop http://www.springframework.org/schema/aop/spring-aop-3.1.xsd http://www.springframework.org/schema/tx http://www.springframework.org/schema/tx/spring-tx-3.1.xsd http://www.springframework.org/schema/mvc http://www.springframework.org/schema/mvc/spring-mvc-3.1.xsd http://www.springframework.org/schema/context http://www.springframework.org/schema/context/spring-context-3.1.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> <context:annotation-config /> <context:component-scan base-package="com.pe.fs" /> <mvc:annotation-driven /> <mvc:resources mapping="/**" location="/" /> <mvc:interceptors> <bean class="org.springframework.web.servlet.i18n.LocaleChangeInterceptor"> <property name="paramName" value="lang" /> </bean> </mvc:interceptors>  <bean id="jpaDataSource" class="oracle.jdbc.pool.OracleDataSource" destroy-method="close" p:driverType="oracle.jdbc.OracleDriver" p:user="**********" p:password="**********" p:uRL="jdbc:oracle:thin:@localhost:1521:XE" /> <bean id="entityManagerFactory" class="org.springframework.orm.jpa.LocalContainerEntityManagerFactoryBean"> <property name="persistenceXmlLocation" value="classpath*:META-INF/persistence.xml"></property> <property name="persistenceUnitName" value="freesunPU" /> <property name="dataSource" ref="jpaDataSource" /> <property name="jpaVendorAdapter"> <bean class="org.springframework.orm.jpa.vendor.EclipseLinkJpaVendorAdapter"> <property name="showSql" value="false" /> </bean> </property> <property name="loadTimeWeaver"> <bean class="org.springframework.instrument.classloading.InstrumentationLoadTimeWeaver"/> </property> </bean> <bean id="transactionManager" class="org.springframework.orm.jpa.JpaTransactionManager" p:entityManagerFactory-ref="entityManagerFactory" /> <tx:annotation-driven mode="aspectj"/> <context:load-time-weaver aspectj-weaving="autodetect" />

Обновление: Я добавил spring-security-aspects в POM и никаких изменений. Другие изменения, предложенные в ответах, были протестированы, но аннотации, такие @PreAuthorize все еще не работают. Cna это проблема между контекстами? Может быть использование aspectJ причина?

Что я делаю неправильно?

Ответы

Ответ 1

Наконец, я нашел решение. В SO я нашел несколько полезных ответов. См. здесь и здесь.

Я переместил global-method-security в application-context.xml, который является контекстом моих сервисов.

<security:global-method-security 
    mode="aspectj"
    secured-annotations="enabled"
    jsr250-annotations="disabled"
    pre-post-annotations="enabled"/>

Где mode="aspectj", как говорит Javadoc:

... можно использовать, чтобы указать, что AspectJ следует использовать вместо по умолчанию Spring АОП. Если установлено, защищенные классы должны быть сотканы с помощью AnnotationSecurityAspect от модуля spring -security-аспектов.

Конечно, я добавил к POM spring-security-aspects:

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-aspects</artifactId>
    <version>3.1.3.RELEASE</version>
</dependency>

Ответ 2

Добавить новый интерфейс:

public interface UserService extends UserDetailsService {
    Usuario getUser(int id) throws DAOException
}

Внедрите его в службу пользователя и повторите попытку. Spring сможет добавлять запрошенные авторизации с использованием прокси-серверов JDK.

В качестве еще одной опции вы можете настроить Spring для использования некоторых более тяжелых библиотек, таких как Javassist или даже AspectJ. В этом случае интерфейс не потребуется.

EDIT. Убедитесь, что global-method-security объявлен в том же контексте Spring с помощью вашей службы пользователя bean.

Ответ 3

Альтернативный способ заставить его работать - добавить следующий код в свой security.xml

<intercept-url pattern="/user/**" access="hasRole('ROLE_ADMIN')" />

Это гарантирует, что только администратор может получить доступ к ресурсам, начиная с pattern/user/.