使用Spring安全的安全方法

Question

对于当前的项目，我们正在集成JSF和Spring框架。我想使用Security来处理身份验证和授权。到目前为止，我已经实现了一个自定义PasswordEncoder和AccessDecisionVoter，它们运行良好。现在，我正在尝试使用@Secured注释来保护方法(以及其他方法)，但我无法像我所期望的那样让它发挥作用。

@Secured注释似乎只适用于直接从JSF层调用的bean方法。下面是一个简化的示例：

@Named("foobarBean")
@Scope("access")
public class FoobarBean
{
    @Secured("PERMISSION_TWO")
    public void dummy()
    {
    }

    @Secured("PERMISSION_ONE")
    public String save()
    {
        dummy();
    }
}

方法save()是从JSF层调用的，如下所示：

<h:commandButton id="save" action="#{foobarBean.save}" />

然后，我们的AccessDecisionVoter被要求在PERMISSION_ONE上投票，但没有在PERMISSION_TWO上投票。这是按照设计好的(我希望没有)，还是我做错了什么(那可能是什么？)

我会张贴更多的代码或配置，但我不确定哪一部分是相关的，我不想混淆这篇文章。

Answer 1

这是代理AOP的一个简单问题！如果您将代理AOP用于安全性，那么代理只能拦截通过代理的调用。如果一个方法直接调用同一个bean的另一个方法，那么就没有代理可以拦截这个调用。-这就是为什么只考虑save()的安全注释的原因。

一种解决方案是使用AspectJ AOP而不是代理AOP。( Spring (Security)也支持它。)

Answer 2

是的，这就是AccessDecisionVoter的工作方式。它接受资源上允许的所有角色(在您的情况下是方法)，并对这些角色进行投票，形成当前经过身份验证的用户的角色。如果该角色匹配，则只授予该权限。

在您的示例中，为save方法定义的唯一角色是PERMISSION_ONE，因此安全系统将只对此角色进行检查。如果登录用户具有该角色，则将执行此方法。