Activer spring security sur les EJBs

**tchize_** · 27/11/2015, 15h03

Bonjour,

j'ai une application avec Spring security + EJB avec annotation @RolesAllowed

Partant de là, j'ai deux possibilité:

1) fait l'authentification par JBoss et la propager vers spring security: ok mais limité dans ce que l'on peux faire lors du login et le support sur la sécurité des urls. C'est ce qu'on fait pour les webservice, mais je voudrait éviter d'avoir à le faire aussi pour le browser
2) ce que je cherche à faire: avoir Spring Security qui intercepte les appels EJBs sur les méthode annotées avec @RolesAllowed
Pour ce point 2, je suis un peu perdu et j'ai du mal à voir ce qu'il faut que je configure.
J'ai trouvé SpringBeanAutowiringInterceptor qui permet d'injecter les autowired dans le EJB, mais rien pour la securité :/

A moins que je ne me fournvoie et que ce soit censé marcher out of the box?

**JeitEmgie** · 29/11/2015, 10h20

un spring-security-context.xml que vous inclurez dans le context principal

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
 
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:security="http://www.springframework.org/schema/security"
 
...
 
    <security:authentication-manager alias="authenticationManager">
        <security:authentication-provider ref="preauthAuthProvider" />
    </security:authentication-manager>
 
    <security:http …>
        ...
    </security:http>
 
 
 
    <bean id="securityMetadataSource" class="org.springframework.security.access.annotation.SecuredAnnotationSecurityMetadataSource" />
 
 
    <security:global-method-security secured-annotations="enabled" access-decision-manager-ref="accessDecisionManager" />
 
 
 
 
    <bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
        <constructor-arg>
            <list>
                <ref bean="roleVoter" />
            </list>
        </constructor-arg>
    </bean>
 
 
    <bean id="roleVoter" class="org.springframework.security.access.vote.RoleVoter">
        <property name="rolePrefix" value="__YOURS___" />
    </bean>
 
 
 
    <bean id="jeePreAuthenticatedFilter" class="org.springframework.security.web.authentication.preauth.j2ee.J2eePreAuthenticatedProcessingFilter">
        <property name="authenticationManager" ref="authenticationManager" />
        <property name="continueFilterChainOnUnsuccessfulAuthentication" value="false" />
    </bean>
 
    <bean id="preauthAuthProvider" class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
        <property name="preAuthenticatedUserDetailsService">
            <bean id="userDetailsServiceWrapper" class="org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper">
                <property name="userDetailsService" ref="authRepository" />
            </bean>
        </property>
    </bean>
 
</beans>

authRepository sera défini ailleurs (par exemple une classe @Repository("authRepository"))
et vous aurez sans doute besoin de 2 versions : déploiement et JUnit…

**tchize_** · 29/11/2015, 11h59

je vais vérifier par rapport à ce qu'on à déjà dès ce soir. En attendant, tu peux m'expliquer là dedans quelle est la partie qui active les check sur les EJB? On a déjà une config qui check sans problème le http, le problème c'est que EJB ne vois pas cette authentification et le conteneur en conclu "crotte, pas de contexte, permit all alors"

Pour les junit, pas de soucis, c'est déjà actif par conteneur EJB + arquillian, pas de spring.

**JeitEmgie** · 29/11/2015, 14h57

Envoyé par tchize_

je vais vérifier par rapport à ce qu'on à déjà dès ce soir. En attendant, tu peux m'expliquer là dedans quelle est la partie qui active les check sur les EJB? On a déjà une config qui check sans problème le http, le problème c'est que EJB ne vois pas cette authentification et le conteneur en conclu "crotte, pas de contexte, permit all alors"

Pour les junit, pas de soucis, c'est déjà actif par conteneur EJB + arquillian, pas de spring.

juste çà c'était pour du Spring pur, pour les EJB il faut encore activer mode="aspectj"dans global-method-security et weaver avec spring-security-aspects.jar

**tchize_** · 29/11/2015, 15h08

Le truc c'est que je voudrait éviter de weaver. Si je dois weaver on ira plutôt vers du full jee pour l'authentification plutôt que spring. J'espérais qu'il pourraist juste forwarder le contexte d'authentification à jboss pour qu'il gère la sécurité.

**JeitEmgie** · 29/11/2015, 16h12

Envoyé par tchize_

Le truc c'est que je voudrait éviter de weaver. Si je dois weaver on ira plutôt vers du full jee pour l'authentification plutôt que spring. J'espérais qu'il pourraist juste forwarder le contexte d'authentification à jboss pour qu'il gère la sécurité.

les beans EJB ne sont pas connues de Spring donc il faut les weaver pour utiliser Spring security.

**tchize_** · 29/11/2015, 17h04

Ben oui ce que voudrait c'est que spring exporte les rôles que le conteneur se charge de la sécurité ejb comme il le fait bien...

**JeitEmgie** · 29/11/2015, 18h15

Envoyé par tchize_

Ben oui ce que voudrait c'est que spring exporte les rôles que le conteneur se charge de la sécurité ejb comme il le fait bien...

Spring a un mécanisme de publication d'évènements que vous pouvez écouter via "implements ApplicationListener " lors d'une authentication vous aurez un "InteractiveAuthenticationSuccessEvent", vous pourriez alors propager au container les infos nécessaires.