我正在使用Spring MVC来公开RESTful服务.我已经通过HTTPBasicAuthentication启用了身份验证,并使用< security:http>我可以控制哪些角色可以访问网址.
现在我想使用@Secured注释.我试图将它添加到Controller方法但它不起作用.它什么都不做.
这是我的Controller类:
@Controller
@RequestMapping("/*")
public class HomeController {
private static final Logger logger = LoggerFactory.getLogger(HomeController.class);
private static final String USERS = "/users";
private static final String USER = USERS+"/{userId:.*}";
@RequestMapping(value=USER,method=RequestMethod.GET)
@Secured(value = {"ROLE_ADMIN"})
public @ResponseBody User signin(@PathVariable String userId) {
logger.info("GET users/"+userId+" received");
User user= service.getUser(userId);
if(user==null)
throw new ResourceNotFoundException();
return user;
}
}
这是我的security-context.xml:
fig='true'>
ecurity secured-annotations="enabled" />
我的root-context.xml:
security-context.xml"/>
一切正常,但如果我添加@Secured,它什么都不做:我也可以使用user@somedomain.com访问安全方法,该方法没有ROLE_ADMIN权限.
我已经尝试过移动< security:global-method-security>到root-context.xml,它不起作用.我还尝试通过< security:http>保护相同的方法.标签,它工作正常,但我想使用@Secured注释.
谢谢.
编辑:
我还在appServlet子目录中有一个servlet-context.xml和一个controllers.xml配置文件.
这是servlet-context.xml:
和controllers.xml:
最佳答案
解决了,我添加了< global-method-security> servlet-context.xml中的标记,而不是security-context.xml.
这是新的security-context.xml:
ecurity:global-method-security secured-annotations="enabled"/>
注意:现在Eclipse警告我< security:global-method-security> line:“advises org.mypackage.HomeController.signin(String,
校长)“,证明@Secured现在正在运作.
