java - 无法让 @Secured 在 Spring MVC 中工作

Question

我正在使用 Spring MVC 来公开 RESTful 服务。我已经通过 HTTPBasicAuthentication 启用了身份验证，并且使用<security:http>我可以控制哪些角色可以访问 url。

现在我想使用@Secured注释。我试图将它添加到控制器方法中，但它不起作用。它根本什么都不做。

这是我的Controller课：

@Controller
@RequestMapping("/*")
public class HomeController {
private static final Logger logger = LoggerFactory.getLogger(HomeController.class);

private static final String USERS = "/users";
private static final String USER = USERS+"/{userId:.*}";

    @RequestMapping(value=USER, method=RequestMethod.GET)
    @Secured(value = {"ROLE_ADMIN"})
    public @ResponseBody User signin(@PathVariable String userId) {
        logger.info("GET users/"+userId+" received");
        User user= service.getUser(userId);
        if(user==null)
                throw new ResourceNotFoundException();
        return user;
    }
}

这是我的security-context.xml：

<http auto-config='true'>
    <intercept-url pattern="/**" access="ROLE_USER"/>
</http>

<global-method-security secured-annotations="enabled" />

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="admin@somedomain.com" password="admin"
                authorities="ROLE_USER, ROLE_ADMIN" />
            <user name="user@somedomain.com" password="pswd"
                authorities="ROLE_USER" />
        </user-service>
    </authentication-provider>
</authentication-manager>

我的root-context.xml：

<context:component-scan base-package="org.mypackage" />

<import resource="database/DataSource.xml"/> 

<import resource="database/Hibernate.xml"/>

<import resource="beans-context.xml"/> 

<import resource="security-context.xml"/> 

一切正常，但如果我添加@Secured，它根本什么都不做：我也可以使用 user@somedomain.com 访问安全方法，它没有 ROLE_ADMIN 权限。我已经尝试移动<security:global-method-security>到root-context.xml，它不起作用。我也尝试通过<security:http>标签保护相同的方法，它工作正常，但我想使用@Secured注释。

谢谢你。

编辑：我在 appServlet 子目录中还有一个servlet-context.xml和一个配置文件。controllers.xml

这里是servlet-context.xml：

<mvc:resources mapping="/resources/**" location="/resources/" />

<beans:bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <beans:property name="prefix" value="/WEB-INF/views/" />
    <beans:property name="suffix" value=".jsp" />
</beans:bean>

<beans:import resource="controllers.xml" />

并且controllers.xml：

<context:component-scan base-package="org.mose.emergencyalert.controllers" />

<beans:bean id="multipartResolver" class="org.springframework.web.multipart.commons.CommonsMultipartResolver" />     

<beans:bean id="homeController" class="org.mose.emergencyalert.controllers.HomeController"/> 

Answer 1

解决了，我在 中添加了<global-method-security>标签servlet-context.xml，而不是security-context.xml.

这是新的security-context.xml：

<annotation-driven />

<security:global-method-security secured-annotations="enabled"/>

<resources mapping="/resources/**" location="/resources/" />

<beans:bean class="org.springframework.web.servlet.view.InternalResourceViewResolver">
    <beans:property name="prefix" value="/WEB-INF/views/" />
    <beans:property name="suffix" value=".jsp" />
</beans:bean>

注意：现在 Eclipse<security:global-method-security>在行警告我：“ advises org.mypackage.HomeController.signin(String, Principal)”，证明@Secured现在正在工作。

Answer 2

解决了

将此标记添加到包含 ViewResolve config 的配置文件中： 调度程序的 xml 不在应用程序的 xml 上 <security:global-method-security pre-post-annotations="enabled" secured annotations="enabled">

都托