我对我构建的泽西岛/Spring Restful应用程序有问题。我想使用@preauthorize注释来保护我的端点。但是,我需要访问uriinfo,因为我确实可以使用查询参数。
一切正常,直到我保护方法为止,然后突然我的uriinfo为无效。我可以肯定的是,这与@preatuthorize导致事物的范围有关 - 不再在请求级别上。
@Component
@Path("/equipment")
public class Equipment
{
@Context
UriInfo ui;
@PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')")
@GET
@Produces(MediaType.APPLICATION_JSON)
public def list() {
println ui
return [:]
}
}
下面的简单类将打印" null"。
如果您删除@preatuthorize注释,则获得预期的结果-ORG.Glassfish.jersey.internal.inject.inject.uriinfoinjectee@23b21e3
基于我在其他问题中看到的事情,让我提前说我的应用程序上下文已经有了这一行:
<security:global-method-security pre-post-annotations="enabled"/>
,授权部分正常工作。只是注入uriinfo的是失败。
我使用的是弹簧3.1.4和泽西岛2.3。提供的代码在Groovy中,但这不是问题。
谢谢您的帮助。
所以,我想出了一个解决方案,使我解决问题,并将其留在这里以供后代。答案不能满足所有内容的"为什么",但是它确实可以使我的应用程序正常工作,并且并不是真正的Munge。
我没有在类级上注入uriinfo,而是将其注入方法级别。我从这里明白了。他们的解释是,如果方法签名可能会被修改,请在此处注入。我猜春季安全正在这样做,但是我不明白为什么这会破坏班级注入的东西。
后代工作代码:
@PreAuthorize("hasAnyRole('ROLE_ANALYST', 'ROLE_DEVELOPER')")
@GET
@Produces(MediaType.APPLICATION_JSON)
public def list(@Context UriInfo ui) {
...
}
我遇到了同一问题,并且已经与之抗争了几周。建议的解决方法对于我的用途并不实用。
我看到的另一个解决方法是将 @preatuthorize注释移至服务层(或某些其他应用程序层),而不是直接在其余资源上使用它。该解决方案对我来说也不是实用的,但认为我会将其添加为另一种可能性。