尝试使用JavaConfig而不是XML在Spring Security中实现角色层次结构时遇到了一些问题。有什么方法可以使用@Secured注释而不是HttpSecurity antMatchers实现角色层次结构?我似乎无法在不提供适当的String模式的情况下将角色层次结构添加到HttpSecurity中,尽管我希望能够仅使用@Secured做出访问决定。

java.lang.IllegalStateException: At least one mapping is required (i.e. authorizeRequests().anyRequest.authenticated())

@Bean
public RoleHierarchyImpl roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
    roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
    return roleHierarchy;
}

private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
    DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
    defaultWebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
    return defaultWebSecurityExpressionHandler;
}

public void configure(HttpSecurity http){
http.authorizeRequests().expressionHandler(webExpressionHandler()).and().//other stuff
}


在此方面的任何帮助将不胜感激。

最佳答案

我还想使用@Secured注释建立角色层次结构。发现它确实很棘手,但最终有了以下解决方案(常规代码)。

在@Configuration类中定义您的选民和决策经理:

    @Bean
  public static RoleHierarchy roleHierarchy() {
    RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl()
    roleHierarchy.setHierarchy("""\
        $SUPER_ADMIN > $ORGANIZATION_ADMIN
        $ORGANIZATION_ADMIN > $DOCTOR
        $DOCTOR > $NURSE
        $NURSE > $PATIENT
        $PATIENT > $USER""".stripIndent())
    roleHierarchy
  }

  @Bean
  public static RoleHierarchyVoter roleVoter() {
    new RoleHierarchyVoter(roleHierarchy())
  }

  @Bean
  public AffirmativeBased accessDecisionManager() {
    List<AccessDecisionVoter> decisionVoters = new ArrayList<>();
    decisionVoters.add(webExpressionVoter());
    decisionVoters.add(roleVoter());
    new AffirmativeBased(decisionVoters);
  }

  private WebExpressionVoter webExpressionVoter() {
    WebExpressionVoter webExpressionVoter = new WebExpressionVoter()
    webExpressionVoter.setExpressionHandler(expressionHandler())
    webExpressionVoter
  }

  @Bean
  public DefaultWebSecurityExpressionHandler expressionHandler(){
    DefaultWebSecurityExpressionHandler expressionHandler = new DefaultWebSecurityExpressionHandler();
    expressionHandler.setRoleHierarchy(roleHierarchy());
    return expressionHandler;
  }


然后在安全配置中添加决策管理器:

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      ...
      .and()
      .authorizeRequests()
      .accessDecisionManager(accessDecisionManager())
      .antMatchers("/auth").permitAll()
      ...
  }


然后,您还必须覆盖GlobalMethodSecurityConfiguration才能使用RoleHierarchyVoter:

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {

  @Override
  protected MethodSecurityExpressionHandler createExpressionHandler() {
   new DefaultMethodSecurityExpressionHandler(roleHierarchy: SecurityConfiguration.roleHierarchy())
  }

  @Override
  protected AccessDecisionManager accessDecisionManager() {
    AffirmativeBased manager = super.accessDecisionManager() as AffirmativeBased
    manager.decisionVoters.clear()
    manager.decisionVoters << SecurityConfiguration.roleVoter()
    manager
  }

}


我要删除其他选民,而只是在AccessDecisionManager中添加我的RoleHierarchyVoter,但是如果需要,您可以保留其他选民。就我而言,我只使用@Secured注释,因此不需要其他注释。这是使它与@Secured注释一起使用的地方,在任何地方都没有提及。



另一个解决方案是创建具有层次结构配置的RoleHierarchy bean,并将其注入到您的自定义身份验证过滤器中,在此您将通过以下方式对用户进行身份验证并将权限传递给UsernamePasswordAuthenticationToken:

roleHierarchy.getReachableGrantedAuthorities(authorityFromUserDetails)


如果您不使用任何自定义授权,那么第二种解决方案会有些棘手,但就我而言,它甚至更简单。

10-05 23:31