资源未被Spring安全性过滤

时间:2012-07-30 19:51:05

标签: java spring spring-security

我创建了这个简单的AdminController:

@Controller
@RequestMapping("admin")
public class AdminController {
    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    @RequestMapping(value = "/", method = RequestMethod.GET)
    public @ResponseBody String welcomeAdmin() {
        return "Spring Security - ROLE_ADMIN";
    }   
    @PreAuthorize("hasAuthority('ROLE_ADMIN')")
    @RequestMapping(value = "/{query}", method = RequestMethod.GET)
    public @ResponseBody String welcomeAdmin(@PathVariable String query) {
        return query;
    }
}

这是 security-context.xml

<http auto-config="true">
    <intercept-url pattern="/admin*" access="ROLE_ADMIN"/>
    <logout logout-success-url="/admin" />
</http>

<authentication-manager>
    <authentication-provider>
        <user-service>
            <user name="user" password="password" authorities="ROLE_USER" />
            <user name="admin" password="password" authorities="ROLE_ADMIN" />
        </user-service>
    </authentication-provider>
</authentication-manager>

这是在 web.xml

中加载的
<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        /WEB-INF/spring/root-context.xml
        /WEB-INF/spring/appServlet/security-context.xml
    </param-value>
</context-param>
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

没有错误,但任何人都可以访问/admin资源,为什么资源没有被Spring安全性过滤?

2 个答案:

答案 0 :(得分:3)

我认为这是因为

<logout logout-success-url="/admin" />

根据该行,一旦用户注销,将显示该URL。注销页面不安全,因为未经身份验证的用户必须可以访问该页面。它可能会超越第一个条件。

答案 1 :(得分:1)

你使用的是什么版本的弹簧安全?

您需要 security-context.xml

<global-method-security pre-post-annotations="enabled" >
</global-method-security>

以便使用注释。

你也应该尝试:

<intercept-url pattern="/admin*" access="hasRole('ROLE_ADMIN')"/>