Discussion :

[kkort]

Bonjour

Je cherche à vérifier l'identité d'utilisateurs avant d'autoriser l'exécution de certaines méthodes d'une appli web.

J'ai vu qu'il existe une possibilité en insérant "devant" mon objet à surveiller un objet de type ProxyFactoryBean. L'inconvénient est qu'il faut définir ça pour chaque objet à surveiller.
Les docs sur Acegi Security indiquent qu'il est possible d'intercepter des méthodes sur tous les objets, avec une configuration du type :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
    paquetage.Classe.methode1=ROLE_ADMIN
    paquetage.Classe2.meth*=ROLE_ADMIN,ROLE_UTILISATEUR

... mais je n'ai pas réussi à faire fonctionner ces solutions .

Est-ce que quelqu'un aurait un exemple simple de configuration d'Acegi Security pour ces interceptions ? J'ai déjà réussi à filtrer les utilisateurs par URL, donc toute la partie authentification, rôles, ... est en place, il ne reste qu'à déclarer l'interception de ces méthodes et les rôles qui sont autorisés à y accéder.

Merci

[julien.dubois]

As-tu regardé Spring Security 2.0? C'est la nouvelle version d'Acegi Security (oui, le nom a changé), et la configuration est très grandement simplifiée.
Tu pourras très facilement mettre des droits d'accès sur tes méthodes, soit par AOP soit par annotation.

[M.a.n.u.]

bonjour julien dubois, je suis débutant en spring et j'essaie de mettre en place le même mécanisme. J'ai rechercher sur internet un bonne exemple mais en vain. Pourrais-tu m'indiquer un exemple mettant en oeuvre la gestion des roles basé sur les méthodes ?

Je n'ai pas de trouver le war "/spring-security-samples-tutorial-2.0.X" ? par contre j'ai trouvé que celui d'acegi en version 1.0.7 mais il ne contient pas de configuration de gestion des méthodes.

Cordialement

[julien.dubois]

Bonjour,

Sur le site officiel nous avons un guide de référence complet, ainsi que plusieurs projets d'exemple :
http://static.springsource.org/sprin...ite/index.html

Le mieux est donc de démarrer par là.

Sinon, sur mon propre projet (http://tudu.sf.net) il y également un bon exemple de sécurité au niveau des URLs, mais pas encore des méthodes. Je devrais le commiter dans trunk/tudu3 d'ici quelques jours, d'ailleurs.

[djo.mos]

Salut,
J'ai utilisé Spring Security 2 pour sécuriser un ensemble de services (disponible via remoting). La config est plutôt simple :

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
<!-- activer la sécurisation des méthodes via l'annotation @Secured -->
<sec:global-method-security
		secured-annotations="enabled" access-decision-manager-ref="accessDecisionManager" />
 
<!-- définition des intercepteurs (voters) -->
<bean id="accessDecisionManager" class="org.springframework.security.vote.UnanimousBased">
		<property name="decisionVoters" >
			<list>
				<bean class="temp.TestVoter" /></bean>
			</list>
		</property>
</bean>
 
<!-- définition des post-processeurs -->
<bean class="test.YouOwnAfterInvocationProvider">
		<sec:custom-after-invocation-provider />
</bean>

Et voilou.

Je n'en suis pas sûr, mais je crois "<sec:custom-after-invocation-provider />" n'est pas encore fourni dans la distribution officielle de Spring Security (2.0.4, mais ça devrait être dans la 2.5). Dans le schemaLocation, mets cette uri :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.4.xsd

[Mode hors Sujet]
D'ailleurs, je trouve que cette solution, bien qu'elle fonctionne, est tordu : pourquoi ne pas simplement faire comme pour les voters ? i.e. via une property, du genre :

Code xml :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<sec:global-method-security
		secured-annotations="enabled" access-decision-manager-ref="accessDecisionManager" after-invocation-provider-ref="..." />

:p