Bean 定義が複数の親/子コンテキストに分割されている Spring-MVC アプリケーションで Spring Security を定義するための推奨される方法を理解しようとしています。
たとえば、現在のアプリは次のweb.xml
ように見えます (かなり標準的であると理解しています)。
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
classpath:applicationContext.xml
/WEB-INF/securityContext.xml
</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<servlet>
<servlet-name>spring-mvc</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>spring-mvc</servlet-name>
<url-pattern>/app/*</url-pattern>
</servlet-mapping>
ContextLoaderListener
そのため、 で定義された標準が/
あり、グローバル構成をロードします -applicationContext.xml
およびsecurityContext.xml
. また、Spring mvc DispatcherServlet
at を定義します。/app/
これは、独自の Bean を からロードしますspring-mvc-servlet.xml
。
私が理解しているように、で定義されたspring-mvc-servlet.xml
構成は、最上位のコンテキスト ファイルのいずれかで定義された構成には表示されません。
では、アプリ レベルのセキュリティの概念を定義するのに最適な場所はどこでしょうか? たとえば、次のフィルターを追加したいと思います。
<security:http pattern="/oauth/token" create-session="stateless" entry-point-ref="oauthAuthenticationEntryPoint">
<security:custom-filter ref="clientCredentialsTokenEndpointFilter" before="BASIC_AUTH_FILTER" />
</security:http>
これは、リクエストが/app/oauth/token
このフィルターを通過し、基本認証が処理されるようにするためです。
これは Spring-MVC アプリの懸念事項に直接関係するため、最初に で定義しました(これがURL から除外されてspring-mvc-context.xml
いる理由です)。app
ただし、これは で定義されたセキュリティ構成からは見えないことを意味するsecurityContext.xml
ため、無視されます。
そのため、 に移動しますがsecurityContext.xml
、その際、すべての依存関係も移動する必要があります。私はすぐにすべてを に移動することになりapplicationContext.xml
、spring-mvc-context.xml
ほとんど空のままになります。
これは一般的ですか?トップレベルのコンテキストで定義されているものと、子コンテキストで定義されているものの間で推奨される分割は何ですか?
spring-mvc が一連のコントローラーを定義し、これを としてマークしたい@Secured
場合、コントローラーがセキュリティ コンテキストから見えない場合、これらはどのように処理されるのでしょうか?
<mvc:annotation-driven />
からservlet.xml
グローバルに移動する必要がありapplicationContext.xml
ますか? spring-mvc-servlet.xml
Spring セキュリティに参加するように指示するには、 内に追加の構成が必要ですか?
Spring-MVCのドキュメントを読みましたが、これを構成する方法に関する詳細はほとんどありません。さらに、Spring OAuth の例は、単一の構成ファイル内ですべてを定義しているように見えますが、これはあまり現実的ではないようで、私が読んだ他の例と矛盾しているようです。