IllegalArgumentException dans grails, n'a pas pu évaluer l'expression 'ADMIN'

Question

Je reçois cette erreur sur chaque requête dans AdminController. La même chose arrive avec d'autres rôles. J'utilise Grails 3.2.9. Si plus de détails nécessaires s'il vous plaît commenter ci-dessous. Voici la classe Rôle:

@EqualsAndHashCode(includes='authority') 
@ToString(includes='authority', includeNames=true, includePackage=false) 
class Role implements Serializable { 

    private static final long serialVersionUID = 1 

    public static final String ROLE_SUPER_ADMIN = "SUPER_ADMIN" 
    public static final String ROLE_ADMIN = "ADMIN" 
    public static final String ROLE_COMPANY = "COMPANY" 
    public static final String ROLE_PILOT = "PILOT" 
    public static final String ROLE_MEMBER = "MEMBER" 

    String authority 

    Role(String authority) { 
     this() 
     this.authority = authority 
    } 

    static constraints = { 
     authority blank: false, unique: true 
    } 

    static mapping = { 
     cache true 
    } 
} 

Voici la pile

2017-09-15 09: 02:.. 59,701 erreur --- [nio-8080-exec-3] .accC [[[ . [grailsDispatcherServlet]: Servlet.service() pour servlet [grailsDispatcherServlet] dans le contexte de chemin [] a jeté exception

java.lang.IllegalArgumentException: Failed to evaluate expression 'ADMIN' 
at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:30) 
at grails.plugin.springsecurity.web.access.expression.WebExpressionVoter.vote(WebExpressionVoter.groovy:57) 
at grails.plugin.springsecurity.web.access.expression.WebExpressionVoter.vote(WebExpressionVoter.groovy) 
at grails.plugin.springsecurity.access.vote.AuthenticatedVetoableDecisionManager.checkOtherVoters(AuthenticatedVetoableDecisionManager.groovy:90) 
at 
grails.plugin.springsecurity.web.filter.GrailsAnonymousAuthenticationFilter.doFilter(GrailsAnonymousAuthenticationFilter.groovy:53) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter.doFilter(RememberMeAuthenticationFilter.java:150) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter.doFilter(SecurityContextHolderAwareRequestFilter.java:169) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:200) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at grails.plugin.springsecurity.web.authentication.logout.MutableLogoutFilter.doFilter(MutableLogoutFilter.groovy:62) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:105) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at grails.plugin.springsecurity.web.SecurityRequestHolderFilter.doFilter(SecurityRequestHolderFilter.groovy:58) 
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:331) 
at org.springframework.security.web.FilterChainProxy.doFilterInternal(FilterChainProxy.java:214) 
at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:177) 
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:192) 
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:165) 
Caused by: org.springframework.expression.spel.SpelEvaluationException: EL1008E: Property or field 'ADMIN' cannot be found on object of type 'org.springframework.security.web.access.expression.WebSecurityExpressionRoot' - maybe not public? 
at org.springframework.expression.spel.ast.PropertyOrFieldReference.readProperty(PropertyOrFieldReference.java:224) 
at org.springframework.expression.spel.ast.PropertyOrFieldReference.getValueInternal(PropertyOrFieldReference.java:94) 
at org.springframework.expression.spel.ast.PropertyOrFieldReference.getValueInternal(PropertyOrFieldReference.java:81) 
at org.springframework.expression.spel.ast.SpelNodeImpl.getTypedValue(SpelNodeImpl.java:131) 
at org.springframework.expression.spel.standard.SpelExpression.getValue(SpelExpression.java:299) 
at org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:26) 
... 64 common frames omitted 

Answer 1

Un communiqué récent cogné la version des pots de sécurité à ressort 4.0.x qui a changé la façon dont la le préfixe de nom de rôle est substitué. Les noms de vos rôles ne commencent pas par "ROLE_", ils ne sont donc pas détectés en tant que rôles. Ainsi, ils sont supposés être une expression SpEL, et vous voyez un échec à évaluer 'ADMIN' comme une expression. La solution de contournement consiste à renommer tous les noms de rôle afin qu'ils commencent par "ROLE_" jusqu'à ce que le plug-in soit de nouveau synchronisé avec Spring Security.