问题标签 [jsr250]

我正在尝试在 Spring boot(1.2.5) 应用程序的 Jersey(2.x) 休息控制器上添加安全性。我的项目使用 spring boot 启动器：web、security 和 jersey。

Spring 安全配置

泽西休息控制器

安全性不起作用（任何用户都可以访问其余控制器）但安全性适用于 Spring 控制器

提前感谢您的帮助

我开始使用google guice。由于 guice 不支持开箱即用的jsr-250注释，因此我试图弥合这一差距。具体来说，我对使用@PostConstruct和@PreDestroy注释很感兴趣。

• 我尝试按照此处描述的guiceyfruit进行操作，但没有成功。
• 我尝试了对 JSR-250 的mycila支持，但没有成功（参见第 3 节，JSR-250）：injector = Guice.createInjector(Stage.PRODUCTION, new CloseableModule(), new Jsr250Module(), new MyModule()); 或者使用Jsr250.newJsr250Module()没有成功。

有没有人设法在基于 guice 的应用程序中使用 JSR-250 注释并可以告诉我它是如何完成的？

谢谢

我看到 JSR-330 @Inject 注释没有将 ApplicationContext 填充到我的 bean 中的问题。使用 JSR-250 @Resource 注释时，它会被正确注入。是的，我知道我可以让 MyClass 实现 ApplicationContextAware，但想知道为什么 @Resource 可以工作，但 @Inject 不能。我正在使用 spring-context 版本 4.1.6.RELEASE 和 java 8

这有效：

这有 ApplicationContext 为空

我在使用 Spring Security（xml 配置）、Oauth2 和 JSR250 方法注释配置安全性时遇到问题。

当我尝试访问安全方法而不在我的请求中发送任何令牌时，会显示内容，就好像存在任何安全性一样。

编辑：GitHub上的示例项目（仍然无法正常工作）：https ://github.com/michael112/SpringOAuthTest

我的源文件：

和配置文件：

spring-security-oauth.xml：

弹簧安全.xml：

令牌在标头“X-AUTH-TOKEN”中发送。

这个实际的弹簧安全配置。当用户在标头中发送令牌和角色“ADMIN”时如何配置 Spring Security，他将被允许访问“安全”？

@PreDestroy当 bean 被垃圾回收时，是否调用了原型 bean的方法？

我也有两条独立的安全路径，因此每条路径都有自己的配置。

我的配置：（path-a & path-b 相同）

我还启用了全局方法安全性，并且不在“path-a”或“path-b”上的方法使用 @RolesAllowed("ROLE-A") 进行注释，安全部分运行良好 - 只有经过身份验证后，方法才能工作.

唯一的问题是，当路径没有被识别时——spring security filters 没有运行，只有方法安全拦截器在运行。当没有身份验证时 - RememberMe 过滤器没有运行来检查 cookie，现在我被拒绝访问。

如何使全局方法安全路径运行记住我过滤器？

我正在阅读 Spring 教程并遇到以下示例。它提到Spring支持Java EE注解@Resource。我正在尝试使用下面的源代码的示例，但它给出了 InvocationTargetException。我想这可能是由于无法正确注入 SpellChecker 对象。

相关堆栈跟踪： 2018 年 2 月 27 日晚上 8:56:23 org.springframework.context.support.AbstractApplicationContext prepareRefresh 信息：刷新 org.springframework.context.support.ClassPathXmlApplicationContext@5d76b067：启动日期 [2018 年 2 月 27 日星期二 20:56:23 CST]；上下文层次结构的根 2018 年 2 月 27 日晚上 8:56:32 org.springframework.beans.factory.xml.XmlBeanDefinitionReader loadBeanDefinitionsINFO：从类路径资源 [Beans.xml] 加载 XML bean 定义在 TextEditor 构造函数内部。在 SpellChecker 构造函数内部。java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at java.base/jdk.internal.reflect.NativeMethodAccessorImpl.invoke(Unknown Source) 的线程“main”java.lang.reflect.InvocationTargetException 中的异常java.base/jdk.internal.reflect.DelegatingMethodAccessorImpl。

我尝试使用 @Autowired 注释而不是 @Resource 注释，它给出了预期的结果：

在 TextEditor 构造函数内部。
在 SpellChecker 构造函数内部。
里面检查拼写。

想看看您是否可以建议/指出错误，如果有的话，非常感谢。

（参考： https ://www.tutorialspoint.com/spring/spring_jsr250_annotations.htm ）

[文本编辑器.java]

[拼写检查器.java]

[主应用程序.java]

[Beans.xml]

我们正在尝试向我们的 Spring 项目添加单元测试Controllers（顺便说一句，集成测试工作正常），但是我们遇到了一个非常奇怪的行为，当我们添加配置时@EnableGlobalMethodSecurity（使用 JSR-250 注释）如果控制器实现了一个接口（无论接口）Controller，Spring 应用程序上下文都不包含“请求处理程序”（我在方法上检查了它org.springframework.web.servlet.handler.AbstractHandlerMethodMapping.processCandidateBean(String beanName)：），也就是说，在控制器（@PostMapping，...）中定义的请求映射没有注册为潜在位置，但是如果接口被删除，然后控制器和路径找到没有问题。

这是我的控制器（简化版），界面简单MyInterface：

这是测试类（如果我删除@EnableGlobalMethodSecurity配置类一切正常）：

我不明白发生了什么，我试图找到一个基于注释 JSR-250（@RollesAllowed）的具有安全性的控制器中的单元测试示例，但我没有发现任何有用的东西，无论如何这个问题听起来（到我）到一个错误，但我不确定，所以欢迎任何帮助。

库版本：

• Spring Boot 版本：2.2.2
• 弹簧核心：5.2.1
• 模拟核心：3.1.0

我们正在尝试使用 Spring Security 对我们的 Java 应用程序进行身份验证/授权。我们的身份提供者是一个自定义的 OAUTH 提供者（管理用户及其权限），并且在成功验证后将使用访问令牌 (JWT) 重定向到我们的应用程序。令牌使用 HS256 算法进行签名，成功解码后，我们可以获得用户的所有权限。问题是如何利用 Spring Security 提供的现有授权框架，如 @RolesAllowed 等 JSR250 注释以及 Spring 框架不包含的用户详细信息？

到目前为止，在我看到的所有示例中，Spring 框架管理UserDetailsS​​ervice本身，其中 Spring知道用户详细信息。

所以问题是我如何映射我在 Token 中获得的角色，以通知 Spring 框架将这些角色应用于 REST 端点中的 @RolesAllowed 注释。我相信我必须编写一些 UserDetailsS​​ervice 的自定义实现？