@Secured méthodes de service et ws élastiques

Question

I ont la structure de projet suivante:

projet de base

(couche de service, modèle) projet web de projet webservice

où à la fois le projet web et le projet de service Web dépendent sur le projet de base et utiliser les services fournis par celui-ci.

Je fais un usage intensif du Cadre de printemps qui signifie que les services sont les haricots de printemps avec des méthodes sécurisées par le @Secured Annotation et Spring Security. J'ai créé un voteur en étendant le AbstractAclVoter qui vérifie les autorisations du client.

Le projet web utilise Spring MVC et le projet de service Web Spring WS avec annotations @Endpoint et la XwsSecurityInterceptor.

Voici mon problème:

Les autorisations sont vérifiées si un appel provient d'un contrôleur de projet web ou dans les tests JUnit du projet de base mais les demandes du projet de service Web ne sont pas vérifiées pour l'autorisation correcte - mon L'électeur n'est pas appelé!

• a ce quelque chose à voir avec le XwsSecurityInterceptor?
• Ai-je besoin du DelegatingFilterProxy également dans le projet de service Web? (Je pas ContextLoaderListener là parce que tout est configuré par la configuration MessageDispatcherServlet)

Answer 1

Votre objet d'authentification utilisateur avec une autorisation accordée remplie est disponible uniquement dans le contexte Web et non dans votre projet de services Web. Lorsque vous appelez votre application de service Web, le contexte de sécurité n'est pas le même. Ainsi, vos étiquettes de sécurité ne fonctionneront pas là-bas.

Answer 2

Spring Security intègre un filtre de servlet dans l'application Web. Donc, je suppose que le DelegatingFilterProxy devra être ajouté à web.xml pour le projet de services Web afin qu'il puisse traiter les demandes allant à cette application.