Discussion :

[ego]

Bonjour à tous,

j'essaye de sécuriser les opérations d'une classe exposée via HttpInvoker avec Spring Security 3.0.5.
Tout fonctionne si j'utilise la portion de code suivante dans le fichier de configuration :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<sec:http realm="ism realm" use-expressions="true">
		<sec:http-basic />
		<sec:intercept-url pattern="/ws/**" access="hasRole('ROLE_ADMIN')"  />
	</sec:http>

Maintenant, je voudrais plutôt passer soit par les annotations @Secured et/ou les aspects. Et là, même en suivant la doc, ça ne fonctionne pas.
J'ai essayé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<global-method-security secured-annotations="enabled" />

avec les annotations sur la classe exposée via HttpInvoker

ou encore

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<global-method-security> <protect-pointcut expression="execution(* 
		com.bnpp.ism.api.I*.*(..))" access="ROLE_USER" /> </global-method-security>

Et bien quelque soit le rôle associé à mon user, ça passe tout le temps.

Avez-vous une idée ?

Merci d'avance

[ego]

Bon en fait le truc c'est que <global-method-security secured-annotations="enabled" /> soit déclaré avant les beans sur lesquels on mets des annotations. Ce n'est pas plus compliqué que ça mais ce n'est pas dit.....visiblement