security - 在父上下文与子上下文中声明 Spring Bean

Question

我有一个 spring bean (dao) 对象，我通过以下 xml 在我的 ServletContext 中实例化它：

<bean id="userDao" class="com.company.dao.impl.UserDaoImpl">
    <property name="sessionFactory" ref="sessionFactory" />
</bean>

这个 bean 在我的 webapp-servlet.xml 文件中声明，并由我的应用程序在 ServletContext 中使用。

我也在使用 SpringSecurity。据我了解，这在不同的上下文（SecurityContext）中运行。

我的应用程序有一个 webapp-security.xml，我在其中实例化了一个自定义身份验证提供程序。我想使用我的应用程序中使用的 dao 在我的安全上下文中进行用户查找，但是当我运行时：

<bean id="userAuthenticationProvider" class="com.company.security.UserAuthenticationProvider">
    <property name="userDao" ref="userDao" />
</bean>

我收到错误说没有这样的bean“userDao”。bean 在我的其他上下文中声明的 bean 中自动装配很好，但不在我的安全上下文中。根据 Spring Docs，我相信 web.xml 中需要两个单独的上下文

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener
    </listener-class>
</listener>

<listener>
    <listener-class>
        org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>

所以我的问题是，我怎样才能访问我的 DAO，它位于我的 SecurityContext 中的 ServletContext 中？我的 dao 是否有范围修饰符，或者我可以在运行时在身份验证提供程序中以某种方式获取 ServletContext？作为参考，这是我想在身份验证提供程序中使用它的方式：

public class UserAuthenticationProvider extends
    AbstractUserDetailsAuthenticationProvider {

    @Override
protected UserDetails retrieveUser(String userName,
        UsernamePasswordAuthenticationToken authenticationToken)
        throws AuthenticationException {

    // use dao here

谢谢你向我解释这个

更新：

继续我的调查，似乎我正在使用我的 daos 的 DispatcherServlet 是一个子上下文，而安全上下文位于更高的位置。因此，我的 DispatcherServlet 中的 bean 不能被父上下文看到。我认为答案是以某种方式将我的 bean 声明移动到父应用程序上下文中，但我不知道该怎么做。这是我的 web.xml

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>WEB-INF/spring-*.xml
    </param-value>
</context-param>

<listener>
    <listener-class>
        org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener
    </listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<servlet>
    <servlet-name>myapp</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
    <init-param>
        <param-name>listings</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>

    ...

我将我所有的 dao 创建移到 spring-dao.xml 中，在我的 spring-security.xml 中，我现在正在执行以下操作：

<import resource="spring-dao.xml" />

daos 仍然对 DispatcherServlet 上下文可见，但对我的 SecurityContext 不可见。

回答：

好吧，我想通了。以下是一些有用的链接：

http://static.springsource.org/spring/docs/3.0.x/spring-framework-reference/html/beans.html#context-create

http://forum.springsource.org/showthread.php?115774-Spring-Security-Custom-UserDetailsS​​ervice-to-use-User-Service-Dao

http://static.springsource.org/spring-security/site/faq.html#faq-method-security-in-web-context

所以问题是我们需要确保 dao 存在于 ApplicationContext（更高的 spring 容器）中。为了确保发生这种情况，我将 web.xml 更改为：

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>WEB-INF/spring-dao.xml WEB-INF/spring-security.xml
    </param-value>
</context-param>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener
    </listener-class>
</listener>

<listener>
    <listener-class>
        org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<servlet>
    <servlet-name>webapp</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
    <init-param>
        <param-name>listings</param-name>
        <param-value>true</param-value>
    </init-param>
</servlet>

我认为这将确保启动的第一个上下文加载器将读取我的 dao 配置（并创建我的 dao bean），然后是我的安全配置。由于 dao bean 是以这种方式创建的，因此我删除了 security.xml 中之前的“import resource="spring-dao.xml"” 语句，因为不再需要它。

在该上下文参数配置之后，我创建了 ContextLoaderListener。这是一个比 DispatcherServlet 更高级别的 spring 容器，所以我认为将它放在第一个将是第一个读取这些配置文件的人，然后他将创建 bean。然后，任何子上下文都可以访问它们。这可能不是它的工作方式，因为 DispatcherServlet 甚至可能不会读取 contextConfigLocation，但即使这样做，我认为此时 bean 已经被声明了，太糟糕了，父上下文拥有它们。

现在，为了另一个技巧......为了获得我的 DAO，我无法@Autowired 它。我不得不通过 XML 手动注入它：

    <bean id="userAuthenticationProvider" class="com.company.app.security.UserAuthenticationProvider">
    <property name="userDao" ref="userDao" />
</bean>

当然，我在我的 dao 上创建了 getter 和 setter 方法，瞧！我不知道为什么 @Autowired 在这里不起作用。我认为这是设计使然。也许这是 SecurityContext 特有的（它不会从其他上下文中提取），或者@Autowired 通常只从当前上下文中提取，或者可能因为我通过 XML 创建了 bean，我还必须通过 xml 设置任何属性和不是通过注释？（注释已启用并在我的顶级应用程序命名空间中工作）。

无论如何..还有很多我不明白，但重要的是它终于开始工作了。

Answer 1

如果你打算使用 Spring MVC，你肯定需要了解 Spring MVC 的 ApplicationContext 层次结构。您还应该了解servlet 容器中的基本组件和生命周期，因为您似乎也对侦听器和 servlet 的工作方式感到困惑。

简要说明您的情况：

1. 您正在创建两个 ApplicationContext：根上下文和 DispatcherServlet 上下文。根上下文由 ContextLoaderListener 基于 contextConfigLocation 中命名的文件创建。此上下文旨在包含构成应用程序核心逻辑的 bean。DispatcherServlet 上下文是在该 servlet 启动时创建的，并且基于名为“webapp-servlet.xml”的文件。此上下文旨在包含任何支持与它关联的 DispatcherServlet 实例的 bean，并且应该只在其中包含与视图相关的 bean。
2. DispatcherServlet 上下文成为根上下文的子级。这允许将根上下文中的核心 bean 注入视图层 bean。可见性是单向的。视图层 bean 不可用于核心 bean，这是可取的。这就是为什么您的 DAO 无法注入您的身份验证提供程序的原因。DAO 在子上下文中。
3. 基于注释的服务仅适用于声明它们的上下文。如果 @Autowired 不适用于特定的 bean，那是因为您没有声明<context:component-scan/>或<context:annotation-config/>在该 bean 存在的上下文中。