75 votes

egervari avatar

Spring Security peut-il utiliser les méthodes @PreAuthorize on Spring controller?

Demandé el 21 de Juin, 2010
Quand la question a-t-elle été
14932 affichage
Nombre de visites la question a
3 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Spring Security peut-il utiliser les méthodes @PreAuthorize sur les contrôleurs Spring?

Demandé el 21 de Juin, 2010 par egervari

Réponses

Trop de publicités?

74voto

axtavt avatar
axtavt Points 126632

Oui, ça marche bien.

Vous avez besoin de <security:global-method-security pre-post-annotations="enabled" /> en ...-servlet.xml . Cela nécessite également des mandataires CGLIB . Par conséquent, soit vos contrôleurs ne devraient pas avoir d’interfaces, soit vous devez utiliser proxy-target-class = true .

Répondu el 21 de Juin, 2010 par axtavt (126632 Points )

27voto

Tomasz avatar
Tomasz Points 1678

Voir le Printemps FAQ sur la Sécurité (l'emphase est mienne).

Au Printemps de l'application web, le contexte de l'application qui contient l' Spring MVC de haricots pour le répartiteur de la servlet est souvent séparée de la principales contexte de l'application. Il est souvent défini dans un fichier appelé myapp-servlet.xml où "myapp" est le nom attribué au Printemps DispatcherServlet dans web.xml. Une application peut avoir plusieurs DispatcherServlets, chacune avec sa propre isolé contexte de l'application. Les haricots dans de ces "enfants" contextes ne sont pas visibles par le reste de la application. Le "parent" contexte d'application est chargé par le ContextLoaderListener vous définissez dans votre web.xml et est visible par tous l'enfant contextes. Ce contexte parent est généralement de là que vous définissez votre configuration de sécurité, y compris la l'élément). Suite à toutes les contraintes de sécurité appliquées aux méthodes de ces web haricots ne seront pas appliquées, car les grains ne peuvent pas être vus à partir de la DispatcherServlet contexte. Vous devez déplacer le déclaration pour le contexte web ou déplacé le les haricots que vous voulez sécurisé dans le contexte de l'application.

Généralement, nous recommandons l'application de la méthode de sécurité au service couche plutôt que sur le web individuels des contrôleurs.

Si vous appliquez pointcuts de la couche de service, vous ne devez définir <global-method-security> dans votre application de contexte de sécurité.

Répondu el 5 de Juillet, 2012 par Tomasz (1678 Points )

18voto

andy avatar
andy Points 885

Si vous êtes à l'aide de Printemps 3.1, vous pouvez faire des trucs sympas avec cette. Jetez un oeil à https://github.com/mohchi/spring-security-request-mapping. C'est un exemple de projet qui intègre @exiger une autorisation préalable avec Spring MVC est RequestMappingHandlerMapping de sorte que vous pouvez faire quelque chose comme:

@RequestMapping("/")
@PreAuthorize("isAuthenticated()")
public String authenticatedHomePage() {
    return "authenticatedHomePage";
}

@RequestMapping("/")
public String homePage() {
    return "homePage";
}

Une demande de "/" lancera un appel authenticatedHomePage() si l'utilisateur est authentifié. Sinon, il va appeler la page d'accueil().

Répondu el 25 de Septembre, 2012 par andy (885 Points )

Questions en vedette

Top Tags

Dans notre réseau

Prograide.com

Prograide est une communauté de développeurs qui cherche à élargir la connaissance de la programmation au-delà de l'anglais.
Pour cela nous avons les plus grands doutes résolus en français et vous pouvez aussi poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X