私はこれを機能させようとして3日目ですが、あまり運がありません。使用シナリオは次のとおりです(ここで自分の言葉を使用して要約するだけです):
既存のアプリケーション内で、Spring セキュリティを統合する必要があります。ユーザーのログイン構成は変更できず、Spring 内で標準のアノテーション ( @Securedおよび@PreAuthorize ) を使用して、RESTful エンドポイントへのアクセスをロックダウンできるようにしたいと考えています。内部オブジェクトはラップできますが、変更することはできません。
セキュリティのために、コアの依存関係をすべて Maven に追加しました。
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>${spring.version}</version>
</dependency>
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>${spring.version}</version>
</dependency>
システムにあったカスタムUserクラスを取得し、Spring Security Framework にプラグインするための 2 つのラッパーを作成しました。
- org.springframework.security.core.Authenticationを実装するCustomAuthentication
- org.springframework.security.core.userdetails.UserDetailsを実装するCustomUserDetails
次に、 @Service("userDetailService")を使用してアノテーションが付けられたorg.springframework.security.core.userdetails.UserDetailsS ervice 実装を作成しました。これで、Spring Security の基本的な Java 側の実装が完了しました。これは、物事を実行するために必要だと私が考えたものです。
次のようなクラスcom.myapp.rest.SecurityTestControllerを作成しました。
@Controller
@RequestMapping("/security-test")
public class SecurityTestController {
@RequestMapping("wide-open/{name}")
@ResponseBody
public String restWideOpen(@PathVariable String name, HttpSession session) {
return "Hello, " + name + ", from a wide-open RESTful service.";
}
@Secured("ROLE_XYZ")
@RequestMapping("require-auth/{name}")
@ResponseBody
public String restRequireAuthorization(@PathVariable String name, HttpSession session) {
return "Hello, " + name + ", from a RESTful service requiring authorization.";
}
}
また、追加する内部ログ コードを更新しました (元の開発者によって@Conrollerとして実装されました)。
Authentication customAuthentication = new CustomAuthentication(user);
SecurityContextHolder.getContext().setAuthentication(customAuthentication);
ログアウト時に、単に追加しました:
SecurityContextHolder.clearContext();
それはすべて問題ないようで、問題なくコンパイルされます。そのため、アプリケーションをセキュリティで動作させるために、構成面に進むことにしました。何も変更しなくても、基本 URL (この場合はたまたまlocalhost:8080/myapp/security-test/... ) を使用して両方のインターフェイスにアクセスできました。
したがって、構成は次のとおりです。
web.xml
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
version="2.5">
<display-name>MyApp</display-name>
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/applicationContext*.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<servlet>
<servlet-name>myapp-web</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>myapp-web</servlet-name>
<url-pattern>/myapp/*</url-pattern>
</servlet-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/myapp/**</url-pattern>
</filter-mapping>
</web-app>
applicationContext.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans ...>
<context:annotation-config />
<context:component-scan base-package="com.myapp" />
<context:property-placeholder location="/WEB-INF/servlet.properties" />
<bean id="messageSource" class="org.springframework.context.support.ResourceBundleMessageSource">
<property name="basename" value="messages" />
</bean>
<bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver">
<property name="maxUploadSize" value="${maxProfileImageSize}"/>
</bean>
<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
<property name="driverClassName" value="com.mysql.jdbc.Driver"/>
<property name="url" value="${datasource.url}"/>
<property name="username" value="${datasource.username}"/>
<property name="password" value="${datasource.password}"/>
</bean>
<tx:annotation-driven transaction-manager="transactionManager" />
<bean id="transactionManager" class="org.springframework.jdbc.datasource.DataSourceTransactionManager">
<property name="dataSource" ref="dataSource" />
</bean>
<bean id="sqlSessionFactory" class="org.mybatis.spring.SqlSessionFactoryBean">
<property name="dataSource" ref="dataSource" />
<property name="typeAliasesPackage" value="com.myapp.bean" />
</bean>
<bean id="velocityEngine" class="org.springframework.ui.velocity.VelocityEngineFactoryBean">
<property name="resourceLoaderPath" value="/WEB-INF/views/velocity/"/>
<property name="configLocation" value="/WEB-INF/velocity.properties"/>
</bean>
<bean id="properties" class="org.springframework.beans.factory.config.PropertiesFactoryBean">
<property name="location" value="/WEB-INF/servlet.properties"/>
</bean>
</beans>
applicationContext-security.xml
<beans ...>
<sec:global-method-security secured-annotations="enabled" pre-post-annotations="enabled" />
<sec:http auto-config="true" use-expressions="true">
<sec:intercept-url pattern="/myapp/login" access="permitAll" />
</sec:http>
<sec:authentication-manager>
<sec:authentication-provider user-service-ref="userDetailService" />
</sec:authentication-manager>
</beans>
最後に: myapp-web-servlet.xml
<?xml version="1.0" encoding="UTF-8"?>
<beans ...>
<context:component-scan base-package="com.myapp" />
<context:annotation-config />
<context:property-placeholder location="/WEB-INF/servlet.properties" />
<mvc:annotation-driven/>
<mvc:interceptors>
<bean id="sessionInterceptor" class="com.myapp.web.interceptor.SessionInterceptor" />
</mvc:interceptors>
<bean id="handlerAdapter" class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerAdapter">
<property name="messageConverters">
<util:list>
<ref bean="jsonHttpMessageConverter" />
</util:list>
</property>
</bean>
<bean id="jsonHttpMessageConverter" class="org.springframework.http.converter.json.MappingJacksonHttpMessageConverter" />
<bean id="handlerMapping" class="org.springframework.web.servlet.mvc.method.annotation.RequestMappingHandlerMapping">
<property name="useTrailingSlashMatch" value="true" />
</bean>
<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
<property name="prefix" value="/WEB-INF/views/" />
<property name="suffix" value=".jsp" />
</bean>
</beans>
問題は次のとおりです。
すべてがまったく同じことを思い出させます。ロールを検証しなくても RESTful サービスにアクセスできます。デバッグでTomcatを起動すると、UserDetailsService実装が実際に呼び出されることはありません。
私は何が欠けていますか?Spring Security でこのような問題が発生したことは一度もないので、これは完全にイライラさせられます。
アップデート
私はそれを考え出した。見逃すすべてのものの中で、これをに追加する必要がありましたmyapp-web-servlet.xml:
<sec:global-method-security secured-annotations="enabled" pre-post-annotations="enabled" />
次に、セッションの再起動の間にロールを適切にロードする方法を理解する必要があります。