Spring security *总是*重定向到登录表单

Question

我已经启用了 spring-security 3.1.0 的网络应用程序，可以在本地使用。

mvn jetty:run

当在jetty上远程部署（在端口80上的nginx后面）时，spring-security将停止一起工作。也就是说，除了受保护的部分之外，webapp的其余部分都可以工作。

---

问题

当我导航到安全位置时，我会被重定向到登录页面，以便该部分正常工作。问题是，在提交登录表单时似乎没有任何事情发生。我总是回到登录表单，就像没有发生任何事情一样。

当我尝试记录事件时，spring-security完全无声。这可能是一个线索...

log4j.appender.stdout = org.apache.log4j.ConsoleAppender
log4j.appender.stdout.Target = System.out
log4j.appender.stdout.layout = org.apache.log4j.PatternLayout
log4j.appender.stdout.layout.ConversionPattern = %-5p %d [%t][%F:%L] : %m%n
log4j.rootLogger = INFO, stdout
log4j.logger.org.springframework.security=DEBUG

我能想到的唯一与我的本地设置完全不同的是，在远程服务器上nginx位于码头前面。

有人知道这里可能出现的问题吗？

以下是配置的相关部分。

nginx的

location /test-app {
    proxy_set_header Host $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
    proxy_pass http://localhost:8080/test-app;
}

---

web.xml（spring-security）

<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

---

弹簧security.xml文件

<beans:beans xmlns="http://www.springframework.org/schema/security"
        xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
        xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">

        <authentication-manager alias="authenticationManager">
                <authentication-provider>
                        <user-service>
                                <user name="test" password="test" authorities="ROLE_USER, ROLE_ADMIN" />
                        </user-service>
                </authentication-provider>
        </authentication-manager>

        <http auto-config="true">
                <intercept-url pattern="/secured/login*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
                <intercept-url pattern="/secured/**" access="ROLE_USER" />

                <form-login login-page="/secured/login" login-processing-url="/secured/login/auth"
                        authentication-failure-url="/secured/login?error=BadCredentials"
                        username-parameter="username" password-parameter="password"
                        default-target-url="/secured" />

                <logout logout-url="/secured/logout" logout-success-url="/secured" />
        </http>
</beans:beans>

Answer 1

如果使用端口8080直接连接到远程jetty，它是否有效？

如果是，问题可能与nginx有关。

当Spring Security auth成功时，它应该能够通过响应中的Set-Cookie标头在浏览器上设置cookie。也许nginx有麻烦。

您可以使用Chrome的流量进行调试，按F12并打开“网络”标签。转到登录页面并尝试登录。如果成功，您应该能够在Cookies选项卡中看到cookie JSESSIONID。

Answer 2

我的问题是一样的。据我所知，当URL不包含尾部斜杠时，我的应用程序会进行重定向。

例如： http://example.com/myapp - ＆gt; http://example.com/myapp/重定向。

当你激活spring security并从第一个url开始，然后重定向到http://example.com/login，在成功进行身份验证后，这将返回http://example.com/myapp，并开始新的循环。

使用URL末尾的斜杠尝试您的应用，或者在用户键入不带斜杠的网址时检查如何解决此问题。