使用Spring Security无法保护Grails中的流程步骤

Question

我正在使用Grails 2.2.2，Spring WebFlow 2.0.0和Spring-Security-Core 2.0-RC2插件。我想确保流程中的最后一步，但一直无法完成。

grails.plugin.springsecurity.interceptUrlMap = [ 
    '/myController/connect?execution=e*s3': ["isFullyAuthenticated()"] 
] 

当用户尝试去流程的最后一步，如果他们没有完全验证我想重定向他们到登录页面。这适用于我的项目中的其他操作，但不适用于webflow。

我发现一些文档提示Spring Web Flows和Spring Security可以一起使用：http://docs.spring.io/spring-webflow/docs/2.0.x/reference/html/ch07s04.html。

任何想法？这在Grails中可能吗？

Answer 1

查询字符串在安全检查前从网址中删除，因此我认为您需要执行此操作来明确检查您自己。

的isFullyAuthenticated()在SecurityExpressionRoot的实现

public final boolean isFullyAuthenticated() { 
    return !trustResolver.isAnonymous(authentication) && !trustResolver.isRememberMe(authentication); 
} 

所以你可以依赖项注入authenticationTrustResolver豆，做同样的检查，例如

class MyController { 
    def authenticationTrustResolver 
    def springSecurityService 

    def action() { 

     if (params.execution == 'e*s3' && !isFullyAuthenticated()) { 
     response.sendError 401 
     return 
     } 

     ... 
    } 

    private boolean isFullyAuthenticated() { 
     def authentication = springSecurityService.authentication 
     !authenticationTrustResolver.isAnonymous(authentication) && !authenticationTrustResolver.isRememberMe(authentication) 
    } 
} 

Answer 2

或者，你可以做这样的事情：

grails.plugin.springsecurity.interceptUrlMap = [ 
    '/myController/connect': ["(request.getParameter('execute')?:'').matches('^e.*?s3\$') ? fullyAuthenticated : permitAll"] 
] 

的想法是，HttpServletRequest的暴露的表达，所以如果返回或者返回permitAll fullyAuthenticated我们可以决定。

Answer 3

你不能只导入这个类，并添加这个注释和matchin角色让你的用户进入你的step's方法吗？

import grails.plugins.springsecurity.Secured 

class MyClass() { 

    @Secured(['ROLE_USER']) 
    def lastStep() { 
     // do things 
    } 

} 

未通过身份验证的用户将被重定向到登录页面