Spring Security - Es konnte keine sichtbare WebSecurityExpressionHandler-Instanz im Anwendungskontext gefunden werden

Question

Ich habe Probleme, einen Logout-Link in einer JSP-Seite nur anzuzeigen, wenn der Benutzer authentifiziert wurde. Hier ist die Ausnahme, die ich in dieser Zeile der JSP-Seite haben:

<sec:authorize access="isAuthenticated()"> 

Ausnahme:

Stacktrace: 
.... 

root cause 

javax.servlet.jsp.JspException: No visible WebSecurityExpressionHandler instance could be found in the application context. There must be at least one in order to support expressions in JSP 'authorize' tags. 
    org.springframework.security.taglibs.authz.AuthorizeTag.getExpressionHandler(AuthorizeTag.java:100) 
    org.springframework.security.taglibs.authz.AuthorizeTag.authorizeUsingAccessExpression(AuthorizeTag.java:58) 

Hier ist meine anwendungskontext security.xml:

<http auto-config='true' > 
    <intercept-url pattern="/user/**" access="ROLE_User" /> 
    <logout logout-success-url="/hello.htm" /> 
</http> 

<beans:bean id="daoAuthenticationProvider" 
    class="org.springframework.security.authentication.dao.DaoAuthenticationProvider"> 
    <beans:property name="userDetailsService" ref="userDetailsService" /> 
</beans:bean> 

<beans:bean id="authenticationManager" 
    class="org.springframework.security.authentication.ProviderManager"> 
    <beans:property name="providers"> 
     <beans:list> 
      <beans:ref local="daoAuthenticationProvider" /> 
     </beans:list> 
    </beans:property> 
</beans:bean> 

<authentication-manager> 
    <authentication-provider user-service-ref="userDetailsService"> 
     <password-encoder hash="plaintext" /> 
    </authentication-provider> 
</authentication-manager> 

Ich verstehe dass ich Use-expression = "true" im HTTP-Tag verwenden könnte, aber das bedeutet, dass ich den Ausdruck in den intercept-URL-Tags und im Java-Code verwenden müsste. Gibt es eine Problemumgehung?

Answer 1

Sie können nur einen Kontext zu Ihrer Anwendung hinzufügen

<bean id="webexpressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" /> 

aber der einfachste Weg ist nur Ausdrücke in Ihrer <http> Konfiguration zu ermöglichen, und man wird für Dich hinzugefügt werden. Dies bedeutet nur, dass Sie Ausdrücke in diesem Block verwenden müssen, nicht in Java-Code wie der Methode @Secured Annotationen.