j_spring_security_check - Spring Security 3 especifica múltiples roles de acceso de intercepción-url
spring security tutorial (5)
Estoy intentando configurar la seguridad de Spring 3 con JDBC auth. Todo funciona bien, aparte de cuando intento especificar múltiples roles de acceso a una URL de intercepción. Por ejemplo, quiero que cualquiera con los roles ROLE_USER y ROLE_ADMIN pueda acceder a todas las páginas, utilizo la siguiente línea en mi archivo de configuración de primavera:
<security:intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
Sin embargo, esto arroja el siguiente error:
org.springframework.beans.factory.BeanCreationException: Error creating bean with name ''org.springframework.security.web.access.intercept.FilterSecurityInterceptor#0'': Invocation of init method failed; nested exception is java.lang.IllegalArgumentException: Unsupported configuration attributes: [ ROLE_ADMIN]
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1401)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.doCreateBean(AbstractAutowireCapableBeanFactory.java:512)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.createBean(AbstractAutowireCapableBeanFactory.java:450)
at org.springframework.beans.factory.support.AbstractBeanFactory$1.getObject(AbstractBeanFactory.java:289)
at org.springframework.beans.factory.support.DefaultSingletonBeanRegistry.getSingleton(DefaultSingletonBeanRegistry.java:222)
at org.springframework.beans.factory.support.AbstractBeanFactory.doGetBean(AbstractBeanFactory.java:286)
at org.springframework.beans.factory.support.AbstractBeanFactory.getBean(AbstractBeanFactory.java:188)
at org.springframework.beans.factory.support.DefaultListableBeanFactory.preInstantiateSingletons(DefaultListableBeanFactory.java:558)
at org.springframework.context.support.AbstractApplicationContext.finishBeanFactoryInitialization(AbstractApplicationContext.java:852)
at org.springframework.context.support.AbstractApplicationContext.refresh(AbstractApplicationContext.java:422)
at org.springframework.web.context.ContextLoader.createWebApplicationContext(ContextLoader.java:261)
at org.springframework.web.context.ContextLoader.initWebApplicationContext(ContextLoader.java:192)
at org.springframework.web.context.ContextLoaderListener.contextInitialized(ContextLoaderListener.java:47)
at org.apache.catalina.core.StandardContext.listenerStart(StandardContext.java:3843)
at org.apache.catalina.core.StandardContext.start(StandardContext.java:4342)
at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1045)
at org.apache.catalina.core.StandardHost.start(StandardHost.java:719)
at org.apache.catalina.core.ContainerBase.start(ContainerBase.java:1045)
at org.apache.catalina.core.StandardEngine.start(StandardEngine.java:443)
at org.apache.catalina.core.StandardService.start(StandardService.java:516)
at org.apache.catalina.core.StandardServer.start(StandardServer.java:710)
at org.apache.catalina.startup.Catalina.start(Catalina.java:578)
at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:39)
at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
at java.lang.reflect.Method.invoke(Method.java:597)
at org.apache.catalina.startup.Bootstrap.start(Bootstrap.java:288)
at org.apache.catalina.startup.Bootstrap.main(Bootstrap.java:413)
Caused by: java.lang.IllegalArgumentException: Unsupported configuration attributes: [ ROLE_ADMIN]
at org.springframework.security.access.intercept.AbstractSecurityInterceptor.afterPropertiesSet(AbstractSecurityInterceptor.java:154)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.invokeInitMethods(AbstractAutowireCapableBeanFactory.java:1460)
at org.springframework.beans.factory.support.AbstractAutowireCapableBeanFactory.initializeBean(AbstractAutowireCapableBeanFactory.java:1398)
... 27 more
Si especifica que solo uno de los roles puede acceder a cualquier url, está bien (bien para cualquier función). Cambiar el orden en el que especifico los roles tampoco hace ninguna diferencia. Es como si algo hubiera cambiado en Spring Security 3 que ahora no puede manejar los múltiples roles de acceso que se especifican.
He logrado que esto funcione previamente con Spring Security 2, y estoy usando prácticamente la misma configuración. ¿Algunas ideas?
Mi archivo de configuración de seguridad se detalla a continuación -
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:security="http://www.springframework.org/schema/security"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.0.xsd">
<security:http auto-config="true" access-denied-page="/denied.jsp" >
<security:form-login
default-target-url="/app/home"
always-use-default-target="true" />
<security:intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
<security:logout invalidate-session="true" logout-url="/logout" logout-success-url="" />
</security:http>
<security:authentication-manager>
<security:authentication-provider>
<security:jdbc-user-service data-source-ref="dataSource"
users-by-username-query=''select "username", "password", "enabled"
from users where "username" = ?''
authorities-by-username-query=''select "username", "authority" from user_roles where "username" = ?'' />
</security:authentication-provider>
</security:authentication-manager>
</beans>
Decidí cambiar a Spring Security 2.0.5 sin cambiar nada más para comprobar si se trataba de un error en 3, ¡y lo que era!
Creo que también encontré un error abierto relacionado aquí - https://jira.springsource.org/browse/SEC-1342
Solución: use 2.0.5 si desea usar esta característica.
No estoy seguro acerca de este problema, de hecho lo estoy usando actualmente en mi proyecto y no veo un problema. intenta eliminar el espacio después de "," quiero decir, intenta usar ROLE_USER, ROLE_ADMIN
Tuve el mismo problema pero usé expresiones para evitar este problema:
Deberías incrustar
use-expressions="true"
en tu configuración existente Asi que:
<security:http auto-config="true" access-denied-page="/denied.jsp" >
se convierte
<security:http auto-config="true" access-denied-page="/denied.jsp" use-expressions="true">
Y entonces:
<security:intercept-url pattern="/**" access="hasAnyRole(''ROLE_USER'',''ROLE_ADMIN'')" />
Tuve el mismo problema cuando intentaba migrar de Spring 3.x a 4.x. Finalmente, encontré que el parámetro "use-expressions" de la etiqueta "http" se convirtió en "true" de forma predeterminada en Spring 4.x en lugar de en false (como en las versiones anteriores).
PD: esta pregunta es muy antigua por ahora, pero encontré esto en Google. Entonces, alguien más puede encontrarlo y esta información podría ser útil.
Tuve el mismo problema y encontré la respuesta aquí .
Use esa línea para otorgar acceso al usuario con ambos roles:
<security:intercept-url pattern="/**" access="hasRole(''ROLE_USER'') and hasRole(''ROLE_ADMIN'')" />
Si desea otorgar acceso al usuario con uno de los roles listados, use:
<security:intercept-url pattern="/**" access="hasAnyRole(''ROLE_USER'', ''ROLE_ADMIN'')" />
Además, debe agregar la capacidad de usar SpEL en su seguridad * .xml, agregue use-expressions="true"
a la etiqueta <http>
.