Выражения безопасности #oauth2 на уровне метода

Выражения безопасности #oauth2 на уровне метода ⇐ JAVA

1 сообщение • Страница 1 из 1

Anonymous

Выражения безопасности #oauth2 на уровне метода

Цитата

Сообщение Anonymous » 27 май 2024, 08:59

Что мне следует сделать, чтобы иметь возможность использовать выражения безопасности #oauth2 на уровне метода, как показано в примере ниже?

Код: Выделить всё

@RequestMapping(value = "email", method = RequestMethod.GET)
@ResponseBody
@PreAuthorize("#oauth2.hasScope('read')")
public String email() {

return "test@email.com";
}

Если я делаю запрос к этому ресурсу, я получаю

Код: Выделить всё

    [INFO] java.lang.IllegalArgumentException: Failed to evaluate expression '#oauth2.hasScope('read')'
[INFO]  at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:14)
[INFO]  at org.springframework.security.access.expression.method.ExpressionBasedPreInvocationAdvice.before(ExpressionBasedPreInvocationAdvice.java:44)
[INFO]  at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:57)
[INFO]  at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:25)
[INFO]  at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:62)
[INFO]  at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:232)
[INFO]  at org.springframework.security.access.intercept.aspectj.AspectJMethodSecurityInterceptor.invoke(AspectJMethodSecurityInterceptor.java:43)
[INFO]  at org.springframework.security.access.intercept.aspectj.aspect.AnnotationSecurityAspect.ajc$around$org_springframework_security_access_intercept_aspectj_aspect_AnnotationSecurityAspect$1$c4d57a2b(AnnotationSecurityAspect.aj:63)
[INFO]  at pl.insert.controllers.ResourceController.email(ResourceController.java:22)

То же самое работает хорошо, если я укажу доступ в моей ResourceServerConfiguration вместо методов @Controllers

Код: Выделить всё

@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

@Override
public void configure(HttpSecurity http) throws Exception {
http.requestMatchers().antMatchers("/oauth/resources/**");
http.authorizeRequests().anyRequest().access("#oauth2.hasScope('read')");
}
}

Стандартные выражения безопасности, такие как @PreAuthorize("permitAll") или @PreAuthorize("denyAll"), работают должным образом. Итак, вероятно, мне нужно как-то сказать моему AspectJMethodSecurityInterceptor использовать OAuth2WebSecurityExpressionHandler. Есть идеи?

Подробнее здесь: https://stackoverflow.com/questions/297 ... thod-level

1716789595

Anonymous

Что мне следует сделать, чтобы иметь возможность использовать выражения безопасности #oauth2 на уровне метода, как показано в примере ниже?

[code]@RequestMapping(value = "email", method = RequestMethod.GET)
@ResponseBody
@PreAuthorize("#oauth2.hasScope('read')")
public String email() {

return "test@email.com";
}
[/code]

Если я делаю запрос к этому ресурсу, я получаю

[code]    [INFO] java.lang.IllegalArgumentException: Failed to evaluate expression '#oauth2.hasScope('read')'
[INFO]  at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:14)
[INFO]  at org.springframework.security.access.expression.method.ExpressionBasedPreInvocationAdvice.before(ExpressionBasedPreInvocationAdvice.java:44)
[INFO]  at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:57)
[INFO]  at org.springframework.security.access.prepost.PreInvocationAuthorizationAdviceVoter.vote(PreInvocationAuthorizationAdviceVoter.java:25)
[INFO]  at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:62)
[INFO]  at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:232)
[INFO]  at org.springframework.security.access.intercept.aspectj.AspectJMethodSecurityInterceptor.invoke(AspectJMethodSecurityInterceptor.java:43)
[INFO]  at org.springframework.security.access.intercept.aspectj.aspect.AnnotationSecurityAspect.ajc$around$org_springframework_security_access_intercept_aspectj_aspect_AnnotationSecurityAspect$1$c4d57a2b(AnnotationSecurityAspect.aj:63)
[INFO]  at pl.insert.controllers.ResourceController.email(ResourceController.java:22)
[/code]

То же самое работает хорошо, если я укажу доступ в моей ResourceServerConfiguration вместо методов @Controllers

[code]@Configuration
@EnableResourceServer
public class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {

@Override
public void configure(HttpSecurity http) throws Exception {
http.requestMatchers().antMatchers("/oauth/resources/**");
http.authorizeRequests().anyRequest().access("#oauth2.hasScope('read')");
}
}
[/code]

Стандартные выражения безопасности, такие как @PreAuthorize("permitAll") или @PreAuthorize("denyAll"), работают должным образом. Итак, вероятно, мне нужно как-то сказать моему AspectJMethodSecurityInterceptor использовать OAuth2WebSecurityExpressionHandler. Есть идеи?  

Подробнее здесь: [url]https://stackoverflow.com/questions/29797721/oauth2-security-expressions-on-method-level[/url]