记录一下Spring Security的HTTP元素

阅读更多
竟然距离上一次博客有五个月之久了。。。

今天简单说下spring security配置http遇到的两个问题吧:

	
        
		
        
        
    
	
	
        
            
                
                
            
        
    
    
        
    
    



以上配置主要自定义了一个accessDecisionManager用于自定义用户是否有权限访问某个pattern的URL。

问题1:刚开始访问的时候没有注释下面的"intercept-url"这行,因为copy的其他配置也没有,结果发现,其他的API都能被保护住,只有这个不可以。查了半天,才发现其他的API方法上都加了Spring security的@Secure注解。

然后兴趣使然,就往下看了看,结果发现这个http element仅仅是用来声明一个Filter Chain, 在调用到最终目标方法之前,会通过filter chain中的FilterSecurityInterceptor/MethodSecurityInterceptor调用到AbstractSecurityInterceptor.beforeInvocation()方法,并且把配置/注解中的attribute拿出来,这个Attribute实际上是SecurityMetadataSource接口实现类的一部分,对于XML配置来说,会在Spring初始化时候就根据配置生成好);对于注解来说,没细看,不过内容是和Secure注解相关的。

如果既没有方法上的注解保护,也没有配置intercept-url,那这个filter chain应该就算白配了,过了一堆过滤器应该都不会起作用。

于是添加了Intercept URL, 加上了access="isAuthenticated()"

问题二:加上access后,应用启动就报错了,说这个isAuthenticated不认识。报错是在FilterSecurityInterceptor初始化之后的afterPropertiesSet方法里。 于是就开始看Spring Security的AccessDecision机制。

Spring Security就三个AccessDecision Manager,都继承自AbstractAccessDecisionManager.基本就是一帮人做决定的时候的这三种情况:一个人说通过就是通过;多数人说通过才是通过;所有人说通过就是通过。

这个manager里面会有若干个Voter(投票者),每种投票者可能会支持不同的用户输入,isAuthenticate只有WebExpressionVoter才支持,这个Voter我又正好没有配,才会报错。

一些表达式可以见
http://docs.spring.io/spring-security/site/docs/3.0.x/reference/el-access.html

如果想跑过的话,把http元素上自定义的access-decision-manager-ref="accessDecisionManager"去掉就好。

你可能感兴趣的:(spring,security)