Spring Security Role Hierarchy 不适用于 Thymeleaf sec:authorize

Question

我将 Spring Security 3.2.5.RELEASE 与 ThymeLeaf 2.1.4.RELEASE 一起使用。我已经在我的安全上下文中定义了角色层次结构。在我的视图层中，我使用sec:authorize属性来定义菜单项。我希望看到顶级角色下的所有菜单项，但我只看到在该角色下定义的菜单。如何解决这个问题，以便我看到顶层下的所有菜单？

任何指针将不胜感激。谢谢。

<beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter">
    <beans:constructor-arg ref="roleHierarchy"/>
</beans:bean>

<beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
    <beans:property name="hierarchy">
        <beans:value>
            ROLE_ADMINISTRATOR > ROLE_MANAGER > ROLE_CONTENT_ADMINISTRATOR
        </beans:value>
    </beans:property>
</beans:bean>

在我的视图页面中，我使用sec:authorize如下属性：

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:th="http://www.thymeleaf.org"
      xmlns:sec="http://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<body th:fragment="admin-menu" sec:authorize="hasRole('ROLE_ADMINISTRATOR')">
<li>
    <a href="#"><i class="fa fa-users"></i> <span class="nav-label">Users</span> </a>
</li>
</body>
</html>

Answer 1

为了使角色层次结构在 thymeleaf 模板以及公共安全（注释）配置中起作用，您只需要两件事：

1. 制作豆子：

   @Bean
   public RoleHierarchyImpl roleHierarchy() {
   RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
   String hierarchy =
           "ADMIN_GLOBAL_MANAGEMENT > ADMIN_COMMON " +
           "ADMIN_GLOBAL_MANAGEMENT > ADMIN_USER_MANAGEMENT " +
           "ADMIN_GLOBAL_MANAGEMENT > ADMIN_PAYMENT_MANAGEMENT " +
           "ADMIN_GLOBAL_MANAGEMENT > ADMIN_MESSAGE_MANAGEMENT";
    roleHierarchy.setHierarchy(hierarchy);
    return roleHierarchy;
   }
   

2. 扩展WebSecurityConfigurerAdapter并覆盖一个方法：

   @EnableWebSecurity
   public class SecurityConfig extends WebSecurityConfigurerAdapter {
   
   ...
   
   @Override
   public void configure(WebSecurity web) throws Exception {
     DefaultWebSecurityExpressionHandler expressionHandler = new 
       DefaultWebSecurityExpressionHandler();
     expressionHandler.setRoleHierarchy(roleHierarchy());
     web.expressionHandler(expressionHandler);
   }
   

Answer 2

我在类似的层次结构中也遇到了类似的问题。答案在这里解释Spring Security Role Hierarchy 问题。这对我有用：

<sec:http> ...
    <sec:expression-handler ref="defaultWebSecurityExpressionHandler" />
...

<beans:bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
    <beans:property name="hierarchy">
        <beans:value>
            ROLE_SYSTEMADMIN > ROLE_JOURNALADMIN
            ROLE_JOURNALADMIN > ROLE_ESUBS
            ROLE_ESUBS > ROLE_STAFF
        </beans:value>
    </beans:property>
</beans:bean>

<beans:bean id="methodSecurityExpressionHandler" class="org.springframework.security.access.expression.method.DefaultMethodSecurityExpressionHandler">
    <beans:property name = "roleHierarchy" ref="roleHierarchy"/>
</beans:bean>

<beans:bean id="defaultWebSecurityExpressionHandler"
      class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
      <beans:property name="roleHierarchy" ref="roleHierarchy"/>
</beans:bean>


 <beans:bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
    <beans:constructor-arg>
        <beans:list>
            <beans:bean id="roleVoter" class="org.springframework.security.access.vote.RoleHierarchyVoter">
                <beans:constructor-arg ref="roleHierarchy" />
            </beans:bean>
            <beans:bean class="org.springframework.security.web.access.expression.WebExpressionVoter">
                <beans:property name="expressionHandler" ref="defaultWebSecurityExpressionHandler"/>
            </beans:bean>
        </beans:list>
    </beans:constructor-arg>
</beans:bean>