Spring security AccessDecisionManager : roleVoter, Acl 选民

Question

我正在尝试使用 Java Config 设置一个 Spring Security 3.2 项目，根本不使用 XML。 我想要一个支持 RoleHierarchyVoter 和 AclEntryVoters 的访问决策投票器。这是我正在使用的配置:

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
        @Autowired
        private AclEntryVoter aclUpdatePropertyVoter;

        @Autowired
        private AclEntryVoter aclDeletePropertyVoter;

        @Override
        protected void configure(HttpSecurity http) throws Exception {
                http
                        .formLogin()
                        .and()
                        .logout()
                            .deleteCookies("JSESSIONID")
                            .logoutSuccessUrl("/")
                        .and()
                        .authorizeRequests()
                                 .accessDecisionManager(accessDecisionManager()) 
                                .antMatchers("/login", "/signup/email", "/logout",                 "/search", "/").permitAll()
                                .anyRequest().authenticated();

}


@Bean
public RoleHierarchyVoter roleVoter() {
        RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
        roleHierarchy.setHierarchy("ROLE_USER > ROLE_ANONYMOUS");
        RoleHierarchyVoter roleHierarchyVoter = new RoleHierarchyVoter(roleHierarchy);
        return roleHierarchyVoter;
}

@Bean
public AffirmativeBased accessDecisionManager() {
        List<AccessDecisionVoter> decisionVoters = new ArrayList<>();
        WebExpressionVoter webExpressionVoter = new WebExpressionVoter();
        decisionVoters.add(webExpressionVoter);
        decisionVoters.add(roleVoter());
        decisionVoters.add(aclDeletePropertyVoter);
        decisionVoters.add(aclUpdatePropertyVoter);

        AffirmativeBased affirmativeBased = new AffirmativeBased(decisionVoters);
        return affirmativeBased;
}



}

但是，当应用程序初始化时，出现以下异常:

我得到异常:

java.lang.IllegalArgumentException: AccessDecisionManager does not support secure object class: class org.springframework.security.web.FilterInvocation

在调试代码时，我可以看到当调用 AbstractAccessDecisionManager 并执行以下代码时:

public boolean supports(Class<?> clazz) {
    for (AccessDecisionVoter voter : this.decisionVoters) {
        if (!voter.supports(clazz)) {
            return false;
        }
    }

    return true;
}

RoleHierarchyVoter 支持 FilterInvocation，但是 AclEntryVoters 无法传递它。我在配置中做错了什么？我如何设置项目以使其支持两种类型的选民？提前致谢

Answer 1

正如您所观察到的，acl 选民不支持过滤器调用，因为它们旨在检查安全方法，而不是 Web 请求。

您应该配置一个单独的 AccessDecisionManager 以用于您的方法安全性，并将 acl 选民添加到其中。