当前位置: 首页 > 知识库问答 >
问题:

spring framework security@Preauthorize注释在

公冶鸣
2023-03-14

我正在使用osgi和基于spring注释的配置。(使用virgo部署应用程序)
@preauthorize方法impl上的注释不起作用。
尽管用户没有该角色,但它仍允许用户访问它。

如果我在接口上放置相同的注释,它会为所有用户抛出AccessDenied异常。例外情况:

org.springframework.security.access.AccessDeniedException: Access is denied 
 252881 [http-bio-8080-exec-3] ERROR c.w.HomeController  - handleAccessDeniedException####Access is denied 
    at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:71) 
    at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:203
    at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:64) 
    at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172) 
    at org.springframework.aop.framework.JdkDynamicAopProxy.invoke(JdkDynamicAopProxy.java:202) 
    at $Proxy421.save(Unknown Source) 
    at c.w.controllers.HomeController.home(HomeController.java:125) 
    at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) 
    at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39) 
    at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25) 
    at java.lang.reflect.Method.invoke(Method.java:597) 
    at org.springframework.web.bind.annotation.support.HandlerMethodInvoker.invokeHandlerMethod(HandlerMethodInvoker.java:176) 
    at org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter.invokeHandlerMethod(AnnotationMethodHandlerAdapte
    at org.springframework.web.servlet.mvc.annotation.AnnotationMethodHandlerAdapter.handle(AnnotationMethodHandlerAdapter.java:414) 

这是我的配置:

  <bean id="expressionHandler"
      class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
        <property name="permissionEvaluator" ref="aclPermissionEvaluator"/>
  </bean>
  <global-method-security pre-post-annotations="enabled" run-as-manager-ref="runAsManager"
    secured-annotations="enabled">
    <expression-handler ref="expressionHandler" />
  </global-method-security> 

我使用的是spring-security 3.0.4.Release

共有1个答案

汤飞羽
2023-03-14

我在一个包中使用了@preauthorize注释,在另一个包中定义了global-method-security
将其移到同一包后,问题得到了解决。

 类似资料:
  • 我正在尝试单元测试我的具有@PreAuthorize注释的API。我从智威汤逊得到了认知团体,并将其作为权威。我在api方法的预授权注释中检查了相同的内容。更新:我得到404 No mapping Delete profile/voluc3f5a_test.txt存在 测试类: 控制器方法:

  • 是否有任何方法可以重用UserController方法,只需添加不同的安全性预授权,而无需为管理员重写这些方法?

  • Spring.version:4.0.5.release Spring security Version:3.2.5.release Spring security oauth版本:2.0.2.release 球衣版本:1.18.1 我想使用Spring security的PreAuthorize注释来保护我的REST API,在这里我定义了被授权访问方法的角色: 当我使用角色为“role_adm

  • 我创建了一个包含一些基本crud方法的CrudController。这很好用。当我想保护这个控制器时,我可以重写超类中的方法,这很好。然而,我不想仅仅为了安全而重写每个方法。为此,我想在类上使用@Secured或@PreAuthorize。 我使用的是Spring Boot 2.2.2(最新版本)。 示例Crud基类 实现类 预期行为 当一个类被注释为@PreAuthorize或@安全时,我希望所

  • 我在上一篇文章中问过这个问题:Spring Security的SpEL:将值从XML传递到基于Java的SpEL配置。但这还没有解决。我想将xml配置或外部文件中的值注入

  • 问题内容: 我发现了许多类似的问题,但都没有解决我的问题。我的问题是可以访问的功能 我的spring-security.xml代码如下。 当我添加 我的代码时显示找不到资源错误,并且当我删除我的代码时成功执行但可以访问函数 我的控制器功能是。 问题答案: 你应该有 如果您希望注释起作用。 回答评论: 看来您缺少依赖性。 如果您正在使用Maven,则需要: 如果没有,你可以从这里拿到罐子。