尝试使用JavaConfig而不是XML在Spring Security中实现角色层次结构时遇到了一些问题。有什么方法可以使用@Secured注释而不是HttpSecurity antMatchers实现角色层次结构?我似乎无法在不提供适当的String模式的情况下将角色层次结构添加到HttpSecurity中,尽管我希望能够仅使用@Secured做出访问决定。
java.lang.IllegalStateException: At least one mapping is required (i.e. authorizeRequests().anyRequest.authenticated())
@Bean
public RoleHierarchyImpl roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
return roleHierarchy;
}
private SecurityExpressionHandler<FilterInvocation> webExpressionHandler() {
DefaultWebSecurityExpressionHandler defaultWebSecurityExpressionHandler = new DefaultWebSecurityExpressionHandler();
defaultWebSecurityExpressionHandler.setRoleHierarchy(roleHierarchy());
return defaultWebSecurityExpressionHandler;
}
public void configure(HttpSecurity http){
http.authorizeRequests().expressionHandler(webExpressionHandler()).and().//other stuff
}
在此方面的任何帮助将不胜感激。
最佳答案
我还想使用@Secured注释建立角色层次结构。发现它确实很棘手,但最终有了以下解决方案(常规代码)。
在@Configuration类中定义您的选民和决策经理:
@Bean
public static RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl()
roleHierarchy.setHierarchy("""\
$SUPER_ADMIN > $ORGANIZATION_ADMIN
$ORGANIZATION_ADMIN > $DOCTOR
$DOCTOR > $NURSE
$NURSE > $PATIENT
$PATIENT > $USER""".stripIndent())
roleHierarchy
}
@Bean
public static RoleHierarchyVoter roleVoter() {
new RoleHierarchyVoter(roleHierarchy())
}
@Bean
public AffirmativeBased accessDecisionManager() {
List<AccessDecisionVoter> decisionVoters = new ArrayList<>();
decisionVoters.add(webExpressionVoter());
decisionVoters.add(roleVoter());
new AffirmativeBased(decisionVoters);
}
private WebExpressionVoter webExpressionVoter() {
WebExpressionVoter webExpressionVoter = new WebExpressionVoter()
webExpressionVoter.setExpressionHandler(expressionHandler())
webExpressionVoter
}
@Bean
public DefaultWebSecurityExpressionHandler expressionHandler(){
DefaultWebSecurityExpressionHandler expressionHandler = new DefaultWebSecurityExpressionHandler();
expressionHandler.setRoleHierarchy(roleHierarchy());
return expressionHandler;
}
然后在安全配置中添加决策管理器:
@Override
protected void configure(HttpSecurity http) throws Exception {
http
...
.and()
.authorizeRequests()
.accessDecisionManager(accessDecisionManager())
.antMatchers("/auth").permitAll()
...
}
然后,您还必须覆盖GlobalMethodSecurityConfiguration才能使用RoleHierarchyVoter:
@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true)
class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
new DefaultMethodSecurityExpressionHandler(roleHierarchy: SecurityConfiguration.roleHierarchy())
}
@Override
protected AccessDecisionManager accessDecisionManager() {
AffirmativeBased manager = super.accessDecisionManager() as AffirmativeBased
manager.decisionVoters.clear()
manager.decisionVoters << SecurityConfiguration.roleVoter()
manager
}
}
我要删除其他选民,而只是在AccessDecisionManager中添加我的RoleHierarchyVoter,但是如果需要,您可以保留其他选民。就我而言,我只使用@Secured注释,因此不需要其他注释。这是使它与@Secured注释一起使用的地方,在任何地方都没有提及。
另一个解决方案是创建具有层次结构配置的RoleHierarchy bean,并将其注入到您的自定义身份验证过滤器中,在此您将通过以下方式对用户进行身份验证并将权限传递给UsernamePasswordAuthenticationToken:
roleHierarchy.getReachableGrantedAuthorities(authorityFromUserDetails)
如果您不使用任何自定义授权,那么第二种解决方案会有些棘手,但就我而言,它甚至更简单。