roleHeirarchies は、http 名前空間を介してインターセプト URL として定義された Web セキュリティ式で考慮されますが、JSP Authorize taglib を使用する式では考慮されません。
私はすでにたくさんのものを読んでいます... ref1 ref2 ref3 ref4 ref5 ref6
****編集:**** Ref1 と Ref6 は、jsp で利用できないフィルターの順序とセキュリティ コンテキストに関する問題について言及しています... (ちなみに、私は jsf2 を使用しています) 掘り下げるものがあるかもしれません.. .
編集 2: JSF はセキュリティ タグ lib を処理していますか? 私はこれを読んでそれを試してみましたが、成功しませんでし
EDIT 3 : : Maven spring-faces 2.3.2 および spring-security-taglibs を介してインストールしようとしました...何も起こりません...一部のチュートはカスタム taglib.xml を作成すると言いましたが、それも機能しなかったと思います旧バージョン用だった…
私はこれをテストしました facesContext.externalContext.isUserInRole('ROLE') と sec:authorize access="hasRole('Role')... 最初は同じ ROLE である場合にのみ機能しますが、階層のものを考慮していません...そしてsec: autorize は単に何もせず、すべてのロールが表示されます。
ROLE ROLE_ADMIN_PROFILER_NGS を持つユーザーの上記の例を参照してください。
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_ADMIN_PROFILER_NGS')}" value ="ROLE_ADMIN_PROFILER_NGS"></h:outputText> // WORKS <br></br>
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_GUEST')}" value ="ROLE_GUEST"></h:outputText> // SHOULD APPEAR BUT NOTHING HAPPENS<br></br>
<h:outputText rendered="#{facesContext.externalContext.isUserInRole('ROLE_ADMIN')}" value ="ROLE_ADMIN"> // SHOULD NOT APPEAR AND THAT'S THE CASE</h:outputText><br></br>
/* ALL THE THREE NEXT ARE DISPLAYED WHITHOUT CONTROL AUTORIZATION.*/
<sec:authorize access="hasRole('ROLE_ADMIN_PROFILER_NGS')">ROLE_ADMIN_PROFILER_NGS<br></br></sec:authorize>
<sec:authorize access="hasRole('ROLE_GUEST')">ROLE_GUEST <br></br></sec:authorize>
<sec:authorize access="hasRole('ROLE_ADMIN')">ROLE_ADMIN <br></br></sec:authorize>
これは、ロール階層のものを使用してテストするためにアクセスしようとしたものです:
ユーザーがロール GUEST のみを持っている場合...すべてのタグが表示されます...それらは表示されず、GUEST (下部の定義を参照) のみが表示されます:
<sec:authentication property="username" />
<sec:authorize access="hasRole('ROLE_BABAB')">BABA</sec:authorize>
<sec:authorize access="hasRole('ROLE_GUEST')">GUEST</sec:authorize>
<sec:authorize access="hasRole('ROLE_ADMIN')">ADMIN</sec:authorize>
これは私のセキュリティ構成です:
<security:http auto-config="true" access-decision-manager-ref="accessDecisionManager" use-expressions="true" disable-url-rewriting="true">
<security:intercept-url pattern="/Participant/New/*" access="hasRole('ROLE_ADMIN')" />
<security:intercept-url pattern="/Home" access="hasRole('ROLE_GUEST')" />
<security:intercept-url pattern="/Login" access="hasRole('ROLE_ANONYMOUS')" />
<security:intercept-url pattern="/Login/Error" access="hasRole('ROLE_ANONYMOUS')" />
<security:form-login login-page="/Login" login-processing-url="/j_spring_security_check" authentication-failure-url="/Login/Error" default-target-url="/Home" />
<security:logout logout-url="/j_spring_security_logout" logout-success-url="/Home" delete-cookies="JSESSIONID" invalidate-session="true"/>
<security:anonymous/>
<security:expression-handler ref="defaultWebSecurityExpressionHandler" />
<security:session-management invalid-session-url="/Login" >
<security:concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
</security:session-management>
<security:port-mappings>
<security:port-mapping http="8086" https="8443"/>
</security:port-mappings>
</security:http>
<beans:bean id="defaultWebSecurityExpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
<beans:property name="roleHierarchy" ref="roleHierarchy"/>
</beans:bean>
<beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
<beans:property name="decisionVoters">
<beans:list>
<beans:ref bean="roleVoter" />
<beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
<beans:property name="expressionHandler" ref="defaultWebSecurityExpressionHandler"/>
</beans:bean>
<beans:bean class="org.springframework.security.access.vote.AuthenticatedVoter"/>
</beans:list>
</beans:property>
</beans:bean>
<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter">
<beans:constructor-arg ref="roleHierarchy" />
</beans:bean>
<beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
<beans:property name="hierarchy">
<beans:value>
ROLE_ADMIN > ROLE_ADMIN_PROFILER_NGS
ROLE_ADMIN_PROFILER_NGS > ROLE_GUEST
ROLE_GUEST > ROLE_GUEST_PROFILER_NGS
ROLE_ADMIN > ROLE_ADMIN_PROFILER_CGH
ROLE_ADMIN_PROFILER_CGH > ROLE_GUEST
ROLE_GUEST > ROLE_GUEST_PROFILER_CGH
</beans:value>
</beans:property>
</beans:bean>
どうもありがとう、テストする他のアイデアがあれば大歓迎です...
編集3:
RoleHierarchyVoter に対して 0 を返し、WebExpressionVoter に対して 1 を返すのはなぜですか? これは正常ですか?
14:48:32,861 DEBUG FilterSecurityInterceptor:194 - セキュア オブジェクト: FilterInvocation: URL: /Home; 属性: [hasRole('ROLE_GUEST')] 14:48:32,861 DEBUG FilterSecurityInterceptor:310 - 以前に認証された: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@43a64f5f: プリンシパル: com.clb.genomic.lyon.model.User@d46 : ユーザー名: jp; 守られたパスワード]; 有効: true; AccountNonExpired: 真; credentialsNonExpired: true; AccountNonLocked: 真; 付与された権限: ROLE_ADMIN_PROFILER_NGS; 資格情報: [保護]; 認証済み: true; 詳細: org.springframework.security.web.authentication.WebAuthenticationDetails@0: RemoteIpAddress: 192.168.154.18; セッション ID: 084939D4E097F41ACA6A1F24CD8390BE; 付与された権限: ROLE_ADMIN_PROFILER_NGS 14:48:32,861 DEBUG RoleHierarchyImpl: 117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から [ROLE_GUEST_PROFILER_NGS, ROLE_GUEST_PROFILER_CGH, ROLE_ADMIN_PROFILER_NGS, ROLE_GUEST] にゼロ以上のステップで到達できます。14:48:32,861 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.access.vote.RoleHierarchyVoter@6ff43d69、返される: 0 14:48:32,862 DEBUG RoleHierarchyImpl:117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から 1 つ[ROLE_GUEST_PROFILER_NGS, ROLE_GUEST_PROFILER_CGH, ROLE_ADMIN_PROFILER_NGS, ROLE_GUEST] に 0 以上のステップで到達できます。14:48:32,862 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5、返される: 1 14:48:32,862 DEBUG FilterSecurityInterceptor:215 - 承認が成功した ROLE_ADMIN_PROFILER_NGS、ROLE_GUEST] をゼロ以上のステップで実行します。14:48:32,861 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.access.vote.RoleHierarchyVoter@6ff43d69、返される: 0 14:48:32,862 DEBUG RoleHierarchyImpl:117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から 1 つ[ROLE_GUEST_PROFILER_NGS, ROLE_GUEST_PROFILER_CGH, ROLE_ADMIN_PROFILER_NGS, ROLE_GUEST] に 0 以上のステップで到達できます。14:48:32,862 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5、返される: 1 14:48:32,862 DEBUG FilterSecurityInterceptor:215 - 承認が成功した ROLE_ADMIN_PROFILER_NGS、ROLE_GUEST] をゼロ以上のステップで実行します。14:48:32,861 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.access.vote.RoleHierarchyVoter@6ff43d69、返される: 0 14:48:32,862 DEBUG RoleHierarchyImpl:117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から 1 つ[ROLE_GUEST_PROFILER_NGS, ROLE_GUEST_PROFILER_CGH, ROLE_ADMIN_PROFILER_NGS, ROLE_GUEST] に 0 以上のステップで到達できます。14:48:32,862 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5、返される: 1 14:48:32,862 DEBUG FilterSecurityInterceptor:215 - 承認が成功した 862 DEBUG RoleHierarchyImpl:117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から [ROLE_GUEST_PROFILER_NGS、ROLE_GUEST_PROFILER_CGH、ROLE_ADMIN_PROFILER_NGS、ROLE_GUEST] にゼロ以上の手順で到達できます。14:48:32,862 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5、返される: 1 14:48:32,862 DEBUG FilterSecurityInterceptor:215 - 承認が成功した 862 DEBUG RoleHierarchyImpl:117 - getReachableGrantedAuthorities() - ロール [ROLE_ADMIN_PROFILER_NGS] から [ROLE_GUEST_PROFILER_NGS、ROLE_GUEST_PROFILER_CGH、ROLE_ADMIN_PROFILER_NGS、ROLE_GUEST] にゼロ以上の手順で到達できます。14:48:32,862 DEBUG AffirmativeBased:65 - 投票者: org.springframework.security.web.access.expression.WebExpressionVoter@3fe932d5、返される: 1 14:48:32,862 DEBUG FilterSecurityInterceptor:215 - 承認が成功した
編集5:
<beans:bean id="login" class="com.clb.genomic.lyon.beans.LoginBean" scope ="session">
<beans:property name="authenticationManager" ref="authenticationManager" />
</beans:bean>
> <security:authentication-manager alias="authenticationManager">
> <security:authentication-provider user-service-ref="userBo" >
> <security:password-encoder ref="standardPasswordEncoder"/>
> </security:authentication-provider>
> </security:authentication-manager>