Comment intégrer la Sécurité Printemps et Struts2

J'ai fait des tonnes de recherches sur google à propos de ce problème, et jusqu'à maintenant, je ne pouvais pas trouver un tutoriel qui concerne l'intégration des Struts2 et de la Sécurité Printemps.

Ma question est que Comment pourrais-je intégrer le Printemps de Sécurité et de Struts2?

Où j'ai besoin de certaines actions ou des pages restreint, comme la page admin/url doit être accessible uniquement par un administrateur et d'autres choses comme ça si un utilisateur essaie d'accéder à cette page il ou elle serait redirigé vers une autre page.

Et avec exactement ce que vous rencontrez des problèmes?
Je n'ai pas la moindre idée par où commencer, un exemple simple de la terre serait de le faire.
Il suffit de suivre quelques printemps-sécurité tutoriel/exemple.
ne serait-il pas un changement de Struts2 classes d'Action? ou struts2.xml? aurais-je vraiment mettre un security.xml?

OriginalL'auteur user962206 | 2013-01-15

  1. 7

    Disons que vous avez besoin pour sécuriser ce qui est accessible sur le /admin/* chemin. Vous devez déclarer le Printemps Filtre de Sécurité dans votre web.xml, les jambes de suspension filtre doit venir après, de sorte que si vous accédez à /admin il sera le Printemps de Sécurité que le traitement de la demande de première et sera en mesure de le laisser passer ou bloquer en fonction du rôle de l'utilisateur: 

    <filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/admin/*</url-pattern>
</filter-mapping>
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.FilterDispatcher</filter-class>
</filter>
<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

    Vous déclarer votre printemps contexte de sécurité:

    <http>
    <intercept-url pattern="/*" filters="none" />
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
    <intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />           
    <form-login login-page="/login" />
    <logout logout-url="/logout" />
</http>

    Je vous propose d'utiliser le struts2-convention plugin de sorte que les Url comme /login sont liés automatiquement à une classe nommée disons com.foo.bar.actions.LoginAction. De même pour LogoutAction

    Maintenant ce qui est sous /admin/* devrait être assurée par la Sécurité Printemps, et le reste devrait être transmises directement à la Struts2 filtre.

    Enfin, dans votre JSP, vous pouvez vérifier si quelqu'un est un Admin avec:

    <sec:authorize access="hasRole('ROLE_ADMIN')">
   <p>you are an admin</p>
</sec:authorize>

    Le reste peut être trouvé dans tous les Printemps de Sécurité tutoriel. Ce qui est vraiment important, c'est l'ordre des filtres de la déclaration, le printemps de sécurité doit être la première.

    Edit: d'une recherche sur google, il y a aussi ce lien qui peut être de l'aide pour vous.

    n'aurais-je pas annoter hasRole à l'intérieur d'une classe d'action?
    Si vous avez besoin de le faire en Java de la classe d'action vous pouvez le vérifier avec SecurityContextHolderAwareRequestWrapper.isUserInRole("ROLE_ADMIN")
    existe-il des tutoriels sur les annotations? spécifiquement pour struts2?
    il y a un plugin nommé struts2-annotation: struts.apache.org/2.2.1/docs/struts-2-annotations.html et aussi pour le printemps de sécurité comme @PreAuthorize etc static.springsource.org/spring-security/site/docs/3.0.x/...
    si je télécharge la struts2-annotation-il automatiquement que @exiger une autorisation préalable?

    OriginalL'auteur Alex

  2. 5

    C'est en fait très simple - le Printemps de Sécurité est framework web agnostique 🙂

    Vous devez définir le Printemps filtre de Sécurité de la chaîne - c'est une Java Filtre qui doit être mappé à toutes les demandes. Le filtre permet de vérifier si le chemin d'accès nécessite tout privilages et si oui, vérifie si l'utilisateur est connecté et a ceux privilages.

    Simple exemple de configuration.

    web.xml (insérer à votre existant, aux côtés de struts-config):

    <context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        classpath:META-INF/spring/applicationContext-security.xml
    </param-value>
</context-param>

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

    Printemps configuration de la sécurité (dans le fichier mentionné à l'web.xml dans contextConfigLocation paramètre):

    <?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="
    http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.1.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<http pattern="/js/**" security="none" />
<http pattern="/css/**" security="none" />
<http pattern="/images/**" security="none" />

<http auto-config="false" use-expressions="true">
    <http-basic/>
    <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
    <session-management session-fixation-protection="newSession" />
</http>
</beans:beans>

    Vous pouvez étendre ce que vous souhaitez - Le printemps de la documentation est plutôt bien écrit

    Vous pouvez aller encore plus simples d'auto-configuration:

    <http auto-config='true'>
    <intercept-url pattern="/**" access="ROLE_USER" />
</http>

    Au-dessus des options secure web-app pour demander le chemin d'accès. Vous pouvez sécuriser les actions. L'ajout de la ci-dessous devraient vous permettre de continuer:

    <global-method-security secured-annotations="enabled" pre-post-annotations="enabled" proxy-target-class = "true" />

    Laissez-moi savoir quelles sont les caractéristiques dont vous avez besoin et je peux vous diriger dans une direction. Gardez à l'esprit que l'espace de noms config n'est pas une balle d'argent - si vous avez besoin d'une solution personnalisée vous pourriez avoir besoin de configurer tous les beans spring vous-même, mais la documentation explique cette bien.

    Je vais regarder de Printemps de Sécurité en premier. puis je vais revenir ici
    le printemps doc lien cassé
    Merci pour le conseil, la mise à jour maintenant. Ils ont migré de la documentation. Le lien fonctionne maintenant.

    OriginalL'auteur theadam