У меня есть пакет OSGi, который использует JAX-RS для обработки некоторых служб REST. Этот пакет запущен в Karaf с Apache CXF. Мне нужно применить базовую HTTP-аутентификацию к определенным комбинациям путей и методов. Я переделывал с помощью Spring Security, и похоже, что новая версия 3.1 позволяет вам делать именно это, однако у меня возникли проблемы с работой в OSGi.
Как тест, я создал очень простой файл beans.xml:
<beans>
<import resource="classpath:META-INF/cxf/cxf.xml"/>
<import resource="classpath:META-INF/cxf/cxf-extension-jaxrs-binding.xml"/>
<import resource="classpath:META-INF/cxf/cxf-extension-http.xml"/>
<import resource="classpath:META-INF/cxf/osgi/cxf-extension-osgi.xml"/>
<jaxrs:server id="serverTest" address="/test">
<jaxrs:serviceBeans>
<ref bean="tstSvr"/>
</jaxrs:serviceBeans>
</jaxrs:server>
<bean id="tstSvr" class="com.demo.Test"/>
<security:http auto-config="true">
<security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" method="PUT" />
<security:intercept-url pattern="/**" access="ROLE_USER" />
</security:http>
<security:authentication-manager>
<security:authentication-provider>
<security:user-service>
<security:user name="user" password="pass" authorities="ROLE_USER"/>
<security:user name="admin" password="pass" authorities="ROLE_ADMIN"/>
</security:user-service>
</security:authentication-provider>
</security:authentication-manager>
</beans>
Теперь вот забавная часть... Из всего чтения, которое я делал, мне нужен web.xml для любого из них. Например, этот образец, который я пытался использовать:
<web-app>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
Использование комбинации этих двух файлов не помогло. И "не работает", я имею в виду, что ничего не произошло. Нет сообщений об ошибках, никаких исключений, пакет функционировал, как прежде, чем я попытался добавить Spring безопасность. Я предполагаю, что проблема в том, что пакет должен быть WAR или WAB для загрузки web.xml. Правильно ли это?
И что еще более важно, есть ли способ получить Spring работу без web.xml?
Я работаю над предположением, что мне нужно держать пакет как комплект для CXF, чтобы загрузить его, поэтому я не могу преобразовать его в WAR или WAB, но я не совсем уверен в этом.
Спасибо за любую помощь, которую вы можете предоставить!
UPDATE:
Сделав кучу дополнительных поисковых запросов, я нашел сообщение , в котором упоминалось добавление Web-FilterMappings: springSecurityFilterChain;url-patterns:="/*"
к вашему манифесту вместо использования web.xml. Тем не менее, по-прежнему кажется, что вам нужно использовать WAB вместо обычного пакета. Я добавил строку к моему манифесту на случай, но это не имеет никакого эффекта. Похоже, что мой вопрос заключается в следующем: как использовать WAB с CXF?
ОБНОВЛЕНИЕ 2: Поскольку этот вопрос не достаточно длинный... Я решил попытаться использовать Spring аннотации безопасности вместо intercept-url, чтобы посмотреть, что произойдет. Когда я пытаюсь попасть в защищенный путь, я получаю эту забавную трассировку стека:
Caused by: org.springframework.security.authentication.AuthenticationCredentialsNotFoundException: An Authentication object was not found in the SecurityContext
at org.springframework.security.access.intercept.AbstractSecurityInterceptor.credentialsNotFound(AbstractSecurityInterceptor.java:323)
at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:196)
at org.springframework.security.access.intercept.aopalliance.MethodSecurityInterceptor.invoke(MethodSecurityInterceptor.java:59)
at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:172)[46:org.springframework.aop:3.0.5.RELEASE]
Сайт Spring говорит, что это происходит в первый раз, когда вы пытаетесь анонимно подключиться к защищенной службе, и это произойдет не во второй раз. Ну, это случается каждый раз для меня. Из-за исключения, похоже, что моя запись в манифесте подбирается, и, возможно, проблема отличается от того, что я думал. У кого-нибудь есть мысли о том, почему это происходит? Я пропустил какую-либо запись в beans.xml, чтобы сделать базовую работу http-auth?