我遇到弹簧安全配置问题.. 我正在使用spring 3.2.3发行版,我有以下spring-security.xml:
<http pattern="/login*" security="none"/>
<http auto-config="true">
<intercept-url method="GET" pattern='/**' access='ROLE_ADMIN' />
<form-login login-page="/login.ctx" default-target-url="/private/home.ctx" authentication-failure-url="/loginfailure.ctx" />
<logout invalidate-session="true" logout-success-url="/logout.ctx" />
</http>
登录autenticathe工作正常,但如果我没有身份验证调用服务,安全允许检索数据,不是我所期望的!
示例:
1 - 在Jboss上运行应用程序
2 - 调用此网址:http://localhost:8080/ContextPanel/application/1(此处称为网络服务)
第2点的url,调用服务并返回所需的数据,但是不会执行应用程序的身份验证!!
我会避免这种行为!
这是web.xml的片段:
<!-- Spring Security -->
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>