基于Java 5 注释的Acegi方法保护

使用Java 5 Annotations 方式来实现方法级别的保护，配置文件如下：

<bean id="methodSecurityInterceptor" class="org.acegisecurity.intercept.method.aopalliance.MethodSecurityInterceptor">
   <property name="validateConfigAttributes" value="false" />
   <property name="authenticationManager" ref="authenticationManager" />
   <property name="accessDecisionManager" ref="accessDecisionManager" />
   <property name="objectDefinitionSource">
         <bean class="org.acegisecurity.intercept.method.MethodDefinitionAttributes">
	         <property name="attributes">
	           <!--  利用1.5Annotation的設定方式 -->
	           <bean class="org.acegisecurity.annotation.SecurityAnnotationAttributes" />
	         </property>
           </bean>
  </property>
</bean>

此外，在代码里面必使用Acegi Java 5 Security Annotations 来配置方法的保护属性。下面的例子使用 @Secured 注解来描述配置属性，如下示例：

 

import org.acegisecurity.annotation.Secured;
import org.springframework.transaction.annotation.Transactional;

/**
 * 使用Java 5 注解来实现方法保护
 * 
 * @author Janwer
 *
 */
@Transactional
public interface WebService {
	@Transactional(readOnly=true)
	@Secured({"ROLE_CUSTOMER"})
	List<Subscribe> queryOrderStates(long regId, int subcribeStatus);


	@Transactional(readOnly=true)
	@Secured({"ROLE_MANAGER"})
	List<Subscribe> queryRegSubscribeState(Page page, boolean asc, int subcribeStatus);


	@Secured({"ROLE_CUSTOMER"})
	TransactionResult createSubscribeByAlipay(Map<String,String> m, Register r, int status, String alipayRecord);

}

你可能注意到了 validateConfigAttributes 属性在上面的 MethodSecurityInterceptor 示例中，当设置为 true (the default) ，在启动时 MethodSecurityInterceptor 将验证提供的所有配置属性是否有效。它每个配置属性的检查能通过 AccessDecisionManager 或 RunAsManager 来处理。假如它们都不能处理这些配置属性，那么一个异常将会被抛出。如果使用 Jakarta Commons 属性配置方法, 你应该将 validateConfigAttributes 设置为 false 。

 

注意：其实使用Java 5 的注释也应该设置为false ，否则在程序启动时，将有一个警告产生。并不影响它的正常使用。

WARN [org.acegisecurity.intercept.AbstractSecurityInterceptor.afterPropertiesSet:225]- Could not validate configuration attributes as the MethodDefinitionSource did not return a ConfigAttributeDefinition Iterator

请注意，当使用 BeanNameAutoProxyCreator 为安全过滤创建请求代理时，如果使用基于 CGLIB 的代理，那配置文件应当包含 proxyTargetClass 属性并设置为 true 。否则方法保护将不起作用。引用的是代理的呼叫，而不是实际代理的对象。注意采用这种方式需要 CGLIB 。如果直接使用 JDK1.5 动态代理时，可以注释掉这一属性，见如下示例：

<!-- 利用Spring的自动代理功能实现AOP代理 -->
<bean id="autoProxyCreator" class="org.springframework.aop.framework.autoproxy.BeanNameAutoProxyCreator">
  <property name="interceptorNames">
       <list>
	  <value>methodSecurityInterceptor</value>
       </list>
  </property>
  <property name="beanNames">
       <list>
	 <!--  需要保护的方法  -->
	 <value>registerService</value>
	 <value>mgrService</value>
	 <value>subService</value>
	 </list>
   </property>
   <!--property name="proxyTargetClass" value="true"/-->
</bean>

注意：上面是引用Acegi 官方文档描述，但在我的实际使用中，因为我用的是Spring 2.0.6 且使用基于 JDK1.5 的动态代理，所以不再需要proxyTargetClass 属性设置。当然如是使用 CGLIB 代理的就按官方说明来设置。

 

评论

5 楼 nurenok 2009-11-26  

取消XML全部配置注解  就好了

4 楼 sqe_james 2008-09-11  

不好意思较长时间没来这里了，看了你的异常，好像是没有找到相应匹配的转换策略。估计你的 FilterSecurityInterceptor 安全拦截器没有配置或有误。
你在 @Secured() 里标注的安全角色，应该在 FilterSecurityInterceptor 有相应的配置。

引用

请问sqe_james,为什么我的service中如:
# 需要保护的方法
<value>registerService</value>


加了@Secured({"ROLE_CUSTOMER"})后报这个错
no matching editors or conversion strategy found


Error creating bean with name '/users' defined in ServletContext resource [/WEB-INF/userContext.xml]: Error setting property values; nested exception is org.springframework.beans.PropertyBatchUpdateException; nested PropertyAccessExceptions (1) are:
PropertyAccessException 1: org.springframework.beans.TypeMismatchException: Failed to convert property value of type [$Proxy9] to required type [com.lottery.DAO.LotteryUsersDAOImpl] for property 'lotteryUsersDAOImpl'; nested exception is java.lang.IllegalArgumentException: Cannot convert value of type [$Proxy9] to required type [com.lottery.DAO.LotteryUsersDAOImpl] for property 'lotteryUsersDAOImpl': no matching editors or conversion strategy found
Caused by:


请指教!!!

3 楼 anson_xu 2008-09-01  

请问sqe_james,为什么我的service中如:
# 需要保护的方法
<value>registerService</value>


加了@Secured({"ROLE_CUSTOMER"})后报这个错
no matching editors or conversion strategy found


Error creating bean with name '/users' defined in ServletContext resource [/WEB-INF/userContext.xml]: Error setting property values; nested exception is org.springframework.beans.PropertyBatchUpdateException; nested PropertyAccessExceptions (1) are:
PropertyAccessException 1: org.springframework.beans.TypeMismatchException: Failed to convert property value of type [$Proxy9] to required type [com.lottery.DAO.LotteryUsersDAOImpl] for property 'lotteryUsersDAOImpl'; nested exception is java.lang.IllegalArgumentException: Cannot convert value of type [$Proxy9] to required type [com.lottery.DAO.LotteryUsersDAOImpl] for property 'lotteryUsersDAOImpl': no matching editors or conversion strategy found
Caused by:


请指教!!!

2 楼 sqe_james 2008-04-20  

请问你是在哪一层进行方法保护的？是Controller层还是Service层？可以把你的配置贴上来？如果配置正确的话，不用开启<context:annotation-config />和<aop:aspectj-autoproxy />就能生效的。

1 楼 kv0002 2008-04-19  

按照楼主的方法配置了基于annotation的acegi，也就是在接口的方法上定义@Secured，然后在loginController中分配角色：

// 把登录者的角色信息放在acegi中
List<GrantedAuthority> gas = new ArrayList<GrantedAuthority>();
GrantedAuthority ga = new GrantedAuthorityImpl(RoleIds.ROLE_LBLOG_ADMIN);
gas.add(ga);

GrantedAuthority ga2 = new GrantedAuthorityImpl(RoleIds.ROLE_LBLOG_OPER);
gas.add(ga2);

Authentication auth = new UsernamePasswordAuthenticationToken(user
.getUserName(), null, gas.toArray(new GrantedAuthority[gas.size()]));
SecurityContextHolder.getContext().setAuthentication(auth);

但是在实际调用被@Secured注释的方法时，acegi没有起半点左右，没有设置角色的用户也能调用该方法，我在SPRING配置中，已经开启了<context:annotation-config />
和<aop:aspectj-autoproxy />，但是怎么没有效果呢？