5

Bean 定義が複数の親/子コンテキストに分割されている Spring-MVC アプリケーションで Spring Security を定義するための推奨される方法を理解しようとしています。

たとえば、現在のアプリは次のweb.xmlように見えます (かなり標準的であると理解しています)。

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
    classpath:applicationContext.xml
    /WEB-INF/securityContext.xml
    </param-value>
</context-param>
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
    <servlet-name>spring-mvc</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>spring-mvc</servlet-name>
    <url-pattern>/app/*</url-pattern>
</servlet-mapping>

ContextLoaderListenerそのため、 で定義された標準が/あり、グローバル構成をロードします -applicationContext.xmlおよびsecurityContext.xml. また、Spring mvc DispatcherServletat を定義します。/app/これは、独自の Bean を からロードしますspring-mvc-servlet.xml

私が理解しているように、で定義されたspring-mvc-servlet.xml構成は、最上位のコンテキスト ファイルのいずれかで定義された構成には表示されません。

では、アプリ レベルのセキュリティの概念を定義するのに最適な場所はどこでしょうか? たとえば、次のフィルターを追加したいと思います。

<security:http pattern="/oauth/token" create-session="stateless" entry-point-ref="oauthAuthenticationEntryPoint">
    <security:custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
</security:http>

これは、リクエストが/app/oauth/tokenこのフィルターを通過し、基本認証が処理されるようにするためです。

これは Spring-MVC アプリの懸念事項に直接関係するため、最初に で定義しました(これがURL から除外されてspring-mvc-context.xmlいる理由です)。app

ただし、これは で定義されたセキュリティ構成からは見えないことを意味するsecurityContext.xmlため、無視されます。

そのため、 に移動しますがsecurityContext.xml、その際、すべての依存関係も移動する必要があります。私はすぐにすべてを に移動することになりapplicationContext.xmlspring-mvc-context.xmlほとんど空のままになります。

これは一般的ですか?トップレベルのコンテキストで定義されているものと、子コンテキストで定義されているものの間で推奨される分割は何ですか?

spring-mvc が一連のコントローラーを定義し、これを としてマークしたい@Secured場合、コントローラーがセキュリティ コンテキストから見えない場合、これらはどのように処理されるのでしょうか?

<mvc:annotation-driven />からservlet.xmlグローバルに移動する必要がありapplicationContext.xmlますか? spring-mvc-servlet.xmlSpring セキュリティに参加するように指示するには、 内に追加の構成が必要ですか?

Spring-MVCのドキュメントを読みましたが、これを構成する方法に関する詳細はほとんどありません。さらに、Spring OAuth の例は、単一の構成ファイル内ですべてを定義しているように見えますが、これはあまり現実的ではないようで、私が読んだ他の例と矛盾しているようです。

4

1 に答える 1

7

まず、 ( )内で定義された Bean はapplicationContext.xml( ContextLoaderListener) 内で定義されたものにアクセスできませんが、その逆はアクセスできません。spring-mvc-servlet.xmlDispatcherServlet

あなたは尋ねました:

spring-mvc が一連のコントローラーを定義し、これを @Secured としてマークしたい場合、コントローラーがセキュリティ コンテキストから見えない場合、これらはどのように処理されるでしょうか?

コントローラは で定義する必要があるため、これは問題なく機能しますspring-mvc-servlet.xmlapplicationContext.xml

servlet.xml からグローバル applicationContext.xml に移動する必要がありますか?

いいえ

Spring セキュリティに参加するように spring-mvc-servlet.xml 内に追加の構成が必要ですか?

いいえ

... spring-mvc-context.xml をほとんど空のままにします。これは一般的ですか?

には、Web スタッフに関連するすべてのspring-mvc-context.xmlものを含める必要があります (secrutiy を除く)。したがって、 の共通部分は、、一部のインターセプター ( )、、、、、...のspring-mvc-context.xmlコンポーネント スキャンです。@Controllermvc:interceptorsmvc:resourcesmvc:default-servlet-handlermvc:view-controllerReloadableResourceBundleMessageSourceCookieLocaleResolver.SimpleMappingExceptionResolver

ところで: コンポーネントapplicationContext.xmlスキャン@Service @Repositoryを使用する場合は、2 つ必要 です。@Component@Controllerspring-mvc-context.xml@Controller

@この質問も参照してください: ContextLoaderListener or not? テーマを別の視点から議論します。

于 2012-04-30T07:45:34.180 に答える