Java #方法级别上的oauth2安全表达式
我应该怎么做才能在方法级别上使用#oauth2安全表达式,如下面的示例所示Java #方法级别上的oauth2安全表达式,java,spring-mvc,spring-security,oauth-2.0,Java,Spring Mvc,Spring Security,Oauth 2.0,我应该怎么做才能在方法级别上使用#oauth2安全表达式,如下面的示例所示 @RequestMapping(value = "email", method = RequestMethod.GET) @ResponseBody @PreAuthorize("#oauth2.hasScope('read')") public String email() { return "test@email.com"; } 如果我向收到的资源发出请求 [INFO] java.
@RequestMapping(value = "email", method = RequestMethod.GET)
@ResponseBody
@PreAuthorize("#oauth2.hasScope('read')")
public String email() {
return "test@email.com";
}
如果我向收到的资源发出请求
[INFO] java.lang.IllegalArgumentException: Failed to evaluate expression '#oauth2.hasScope('read')'
[INFO] at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:14)
[INFO] at org.springframework.security.access.expression.method.ExpressionBasedPreInvocationAdvice.before(ExpressionBasedPreInvocationAdvice.java:44)
[INFO] at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:57)
[INFO] at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:25)
[INFO] at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:62)
[INFO] at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:232)
[INFO] at org.springframework.security.access.intercept.aspectj.AspectJMethodSecurityInterceptor.invoke(AspectJMethodSecurityInterceptor.java:43)
[INFO] at org.springframework.security.access.intercept.aspectj.aspect.AnnotationSecurityAspect.ajc$around$org_springframework_security_access_intercept_aspectj_aspect_AnnotationSecurityAspect$1$c4d57a2b(AnnotationSecurityAspect.aj:63)
[INFO] at pl.insert.controllers.ResourceController.email(ResourceController.java:22)
如果我在ResourceServerConfiguration中指定访问权限,而不是在@Controllers方法中指定访问权限,同样的事情也会很好地工作
@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
@Override
public void configure(HttpSecurity http) throws Exception {
http.requestMatchers().antMatchers("/oauth/resources/**");
http.authorizeRequests().anyRequest().access("#oauth2.hasScope('read')");
}
}
像@PreAuthorize(“permitAll”)或@PreAuthorize(“denyAll”)这样的标准安全表达式按预期工作。因此,我可能不得不告诉我的AspectJMethodSecurityInterceptor使用OAuth2WebSecurityExpressionHandler。有什么想法吗 要启用#oAuth2安全表达式,只需将默认表达式处理程序设置为OAuth2MethodSecurityExpressionHandler,而不是DefaultMethodSecurityExpressionHandler。因为OAuth2MethodSecurityExpressionHandler对其进行了扩展,所以之前的所有功能都保持不变。我在配置中同时使用GlobalMethodSecurity配置和WebSecurity配置适配器
@Configuration
@EnableGlobalMethodSecurity
public class MethodSecurityConfiguration extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
return new OAuth2MethodSecurityExpressionHandler();
}
}
@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
...
}
@Configuration
@Import({ SecurityConfiguration.class, MethodSecurityConfiguration.class })
public class AppConfiguration {
...
}
我认为你还需要补充: @启用GlobalMethodSecurity(prespenabled=true)以使其正常工作
我也有同样的问题,但只是在单元测试中(
@WebMvcTest
)。我必须在定义测试配置的内部类上添加@EnableGlobalMethodSecurity
:
@RunWith(SpringRunner.class)
@WebMvcTest(MyController.class)
public class MyControllerTest {
@TestConfiguration
@Import({JacksonCustomizations.class,SecuritySettings.class,
OAuth2ServerConfiguration.class, WebSecurityConfiguration.class,
TokenGrantersConfiguration.class})
@EnableGlobalMethodSecurity
public static class TestConfig {
}
}
更新:在Spring Boot 2.x中,您可能会得到:
java.lang.IllegalStateException:在所有全局方法配置的组合中,实际上没有激活任何注释支持
原因是您添加了@EnableGlobalMethodSecurity
,但实际上没有启用任何功能。若要修复此问题,请将注释的至少一个属性设置为true。例如:
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
一个更简单的解决方案是让Spring启动自动配置。添加以下依赖项为我解决了此问题:
compile('org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.4.RELEASE')
对我来说,这是两者的结合 及
这是一个老问题,事情已经改变了。使用Spring Security 5时,应使用:
.hasAuthority("SCOPE_scopename")
Spring根据从提供者收到的作用域向主体添加权限,前缀为“作用域”
更多信息:Hi@Marek!您找到问题的解决方案了吗?这里也有相同的问题……不幸的是,没有,据我记忆所及,我花了一些时间来解决这个问题,但解决方案太复杂了,最终不值得实施。我使用@Configuration手动执行此操作:(就我而言,这并不那么痛苦,但我可以想象,在某些情况下可能会如此。好的,谢谢你的回答。我只是在这里提出了一个问题:@Sébastienusbaumer检查下面的答案。我刚刚通过解决一个不同的问题找到了解决方案。它对我来说很好。我也有同样的问题。尝试过这个,但没有帮助。有人能帮我吗e请共享一些源代码?它是什么意思“它没有帮助”?是否已加载@Configuration类并创建ExpressionHandler()方法是否被调用过?如果“是”,请检查调试器AspectJMethodSecurityInterceptor是否真的使用了OAuth2MethodSecurityExpressionHandler。如果“否”,请调查原因。将覆盖添加到
createExpressionHandler
对我来说很好。其他解决方案声称您可以添加spring-security-oauth2-autoconfigure
依赖项对我不起作用(至少在我的单元测试中没有,没有检查我的应用程序本身)。我必须删除与GlobalMethodSecurityConfiguration类相关的配置,我添加了这个依赖项,然后它就起作用了。
// gradle dependencuy
compile('org.springframework.security.oauth.boot:spring-security-oauth2-autoconfigure:2.0.4.RELEASE')
.hasAuthority("SCOPE_scopename")