Безопасность Springboot и взаимодействие веб-логики
У меня есть работающее приложение springboot, использующее авторизацию, объявленную как
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/actuator/metrics/**").hasRole(MONITORING_ROLE)
...
.anyRequest().permitAll()
.and()
.httpBasic();
}
и используя InMemoryUserDetailsManager, просто чтобы начать работу прямо сейчас.
Сейчас пытаюсь развернуть на weblogic ...
IIUC springboot2 не запускается (по крайней мере, я не знаю как) на weblogic 12.1.X, и из-за ошибки weblogic безопасность Spring игнорируется, и все разрешено.
Если все правильно, то springboot2 запускается на 12.2.X, но (из-за ошибки weblogic?) Безопасность Spring игнорируется, а правила оцениваются в соответствии с конфигурацией weblogic. Попытка войти в систему, как это было настроено в springboot, блокирует weblogic для слишком большого количества неудачных попыток входа в систему, что означает, что безопасность weblogic задействована.
Может ли кто-нибудь прокомментировать или предоставить некоторые подробности, как должны работать spring -security и weblogic 12.2? Я могу определить login-config, security-role и security-constraint, но в этом случае я не знаю, как spring-security будет справляться с этим ... теоретически я мог бы вообще как-то удалить Spring Security и делать все через weblogic просто как в J2EE. В любом случае, любые намеки на то, как вы это сделали, были бы очень признательны.
Ответы 1
Через некоторое время я нашел эту демонстрацию, которая описывает этот сценарий:
https://github.com/spring-projects/spring-security/tree/5.0.x/samples/javaconfig/preauth
плюс вы, вероятно, захотите установить в своем weblogic.xml следующее:
<security-role-assignment>
<role-name>ADMIN</role-name>
<principal-name>admin</principal-name>
</security-role-assignment>