Discussion :

[Invité]

Bonjour à toutes et tous,

Pour les besoins de mon développement je dois fournir une gestion "dynamique" des droits d'accès sur les différentes pages de l'application.
Bien évidemment j'ai mis en place SpringSecurity en me basant sur un tutoriel qui expliquait comment créer et mettre en place son propre FilterInvocationDefinitionSource avec ACEGI.

Ca fonctionne très bien sauf lorsque l'utilisateur tente d'accéder à une url inconnue. Dans ce cas la méthode getAttributes(Object filter) de mon implémentation de FilterInvocationDefinitionSource me retourne null.
Et je constate avec effroi que retourner null ne provoque pas un rejet mais une autorisation d'accès..

L'un d'entre vous sais t'il quelle partie est en charge de cela ? Je suppose que je dois aller voir du côté des Voters mais je ne vois pas trop comment.
Ou alors est-ce dans l'ordre de délcaration de mes différents filtres.. ?


Merci

[Invité]

La solution est très simple, il suffit de placer l'attribut rejectPublicInvocations de FilterSecurityInterceptor à true.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<beans:bean id="filterInvocationInterceptor" class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
  <beans:property name="authenticationManager" ref="authenticationManager" />
  <beans:property name="accessDecisionManager" ref="accessDecisionManager" />
  <beans:property name="objectDefinitionSource" ref="filterInvocationDefinitionSource" />
  <beans:property name="rejectPublicInvocations" value="true" />
</beans:bean>

http://www.acegisecurity.org/acegi-s...ations(boolean)

[Hikage]

Merci pour l'information