Ti è piaciuto questo blog?
Supportaci e acquista:
"La Sicurezza delle Reti Grandi e Distribuite"

@PreAuthorize

Di -

DOMANDA:

Ho questo controller:


@Controller
public class HelloController {

   @RequestMapping("/menu.htm")
   @PreAuthorize("hasRole('autore')")
   public String provaPreAuthorize(){
     return "autore";
   }
}

@PreAuthorize non funziona e non reagisce come dovrebbe, facendo passare anche utenti non autorizzati.

Perchè viene ignorato?


RISPOSTA:

Il problema inizialmente crea non pochi grattacapi. Intanto stiamo parlando di Spring Security 3.0 o successivi, perchè nelle versioni precedenti esistevano altre annotazioni meno potenti chiamate @Secure. Non mischiate mai nello stesso progetto i 2 tipi di annotazione che non funzioneranno a causa di conflitti negli xml.

La soluzione è ancora una volta semplice, bisogna aggiungere nell'xml di configurazione della DispatcherServlet (e non dentro quello della Security) le seguenti righe tra gli attributi del tag beans:

xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation"http://www.springframework.org/schema/security 
      http://www.springframework.org/schema/security/spring-security-3.1.xsd"

E questo tag:
<security:global-method-securitypre-post-annotations="enabled" /> 

Per completezza, ecco l'intero il dispatcher-servlet.xml:
<beans xmlns="http://www.springframework.org/schema/beans"
  xmlns:context="http://www.springframework.org/schema/context"
  xmlns:security="http://www.springframework.org/schema/security"
  xmlns:p="http://www.springframework.org/schema/p"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="
    http://www.springframework.org/schema/beans
    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/context
    http://www.springframework.org/schema/context/spring-context-3.0.xsd
    http://www.springframework.org/schema/security
    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<security:global-method-security pre-post-annotations="enabled" /> 

<context:component-scan base-package="hello.security.controller" />

<bean id="viewResolver"
    class="org.springframework.web.servlet.view.InternalResourceViewResolver"
    p:prefix="/jsp/" p:suffix=".jsp" />
</beans>

Commenti

Posta un commento

Post popolari in questo blog

Arrotondamento e troncamento in Java

Di -
DOMANDA: Facendo le divisioni tra numeri float o double mi escono cifre decimali lunghissime. Come si arrotonda o si tronca un numero in Java? RISPOSTA: Un esempio in cui questo problema si presenta in modo massivo è durante lo sviluppo applicazioni che hanno a che fare con le valute . Java mette a disposizione differenti metodi di arrotondamento e troncamento per soddisfare un po' tutte le esigenze. Una possibile soluzione ( parziale ) è l'utilizzo della libreria java.lang.Math , in particolare dei suoi 4 metodi elencati di seguito (ricordiamo che Math contiene solo static ): FLOOR - double floor(double d): questo metodo, come si evince dal nome " floor " ( pavimento ) arrotonda il numero alla cifra intera inferiore (il cosiddetto arrotondamento per difetto o troncamento). ESEMPI : double floor(4.4) -> restituisce 4. double floor(4.6) -> restituisce 4. CEIL - double ceil(double d): questo metodo, al contrario di floor si...
Continua a leggere

Eclipse: Shortcuts (scorciatoie) da tastiera

Di -
DOMANDA: Quali sono le shortcuts di Eclipse più utili? RISPOSTA: Usare le shortcuts  da tastiera migliora di molto le prestazioni di un programmatore. Di seguito sono elencate le shortcuts di default, fermo restando che potete sempre cambiarle o aggiungerne di personalizzate (in fondo al post vediamo come). Vediamo alcune delle più utili: Ctrl + spazio Autocomplete, ossia mostra i suggerimenti della parola che state scrivendo. Ctrl + 7 Commenta/Decommenta la riga corrente o la selezione di codice in blocco. Ctrl + Click Eseguito sul nome di un metodo o di una classe, apre la finestra in cui si trova il metodo o la classe ed il cursore si sposta esattamente al punto desiderato. Ctrl + Shift + R Refactoring, ossia rinomina la variabile selezionata ovunque nel workspace aggiornandone i riferimenti. Ctrl + H Cerca il testo selezionato all'interno del workspace. Utile ad esempio per sapere dove un setter o getter viene chiamato. Tab/Shift + Tab Ind...
Continua a leggere

Strutture dati: List, Set, Map

Di -
DOMANDA: Che differenza c'è fra List, Set e Map? Quale devo usare? RISPOSTA: Un Data Structure è una struttura ottimizzata per collezionare dati. List e Set sono strutture dati che estendono Collection mentre Map vive indipendentemente.  Una Collection è un contenitore di un insieme di valori, una sorta di array dinamico. A seconda dell'utilità, si possono usare diverse implementazioni dell'interfaccia Collection. Essa infine può essere tipizzata , ossia contenere solo dati di un certo tipo, tale tipo si indica attraverso i Generics (indicandolo fra parentesi angolari). Siccome il tipo è un oggetto , per esprimere primitivi come int  bisogna usare i wrapper come Integer . List Contiene dati ordinati. I duplicati sono permessi. Aggiunge un elemento: add(Object obj). Accede ad un elemento: get(int index). Rimuove un elemento: remove(Object obj) o remove(int index). Le List servono nel caso in cui i dati possano essere duplicati.  Due...
Continua a leggere

Creare un eseguibile Java

Di -
Immagine
DOMANDA: Come posso creare in Java un eseguibile equivalente al .exe tipico di Windows? RISPOSTA: Anche in Java è possibile creare un file eseguibile che può essere avviato al doppio click. Procedura semplice utilizzando l'IDE Eclipse: Fate click destro sul vostro progetto e selezionate "Export": Dalla finestra selezionate Runnable JAR file (all'interno della cartella Java): Una volta premuto Next vi si aprirà quest'altra finestra: Qui selezionerete il Launch Configuration (la vostra configurazione di run, ovvero quale classe Main avvierà il vostro programma), l'Export Destination (il path dove salvare il jar eseguibile) e come gestire le librerie necessarie (in genere l'opzione "Package required libraries into generated JAR" va benissimo). A questo punto non resta che cliccare FINISH e provare, con un bel doppio click sul JAR appena creato, se abbiamo raggiunto il nost...
Continua a leggere