Question

我有一个spring + hibernate项目，它使用spring security进行身份验证，一切都像魅力一样。我有下面的spring-security.xml：

<beans:beans xmlns="http://www.springframework.org/schema/security"  
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"  
xsi:schemaLocation="http://www.springframework.org/schema/beans  
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd  
http://www.springframework.org/schema/security  
http://www.springframework.org/schema/security/spring-security-3.2.xsd">  

<!-- enable use-expressions -->  
<http auto-config="true" use-expressions="true"> 
 <intercept-url pattern="/home" access="isAuthenticated()" />
 <intercept-url pattern="/home/**" access="isAuthenticated()" /> 


  <form-login 
    login-page="/" 
    authentication-failure-url="/?error"  
    username-parameter="username" 
    password-parameter="password" 
    default-target-url="/home" />  

   <!-- access denied page -->  
   <access-denied-handler error-page="/403" />
   <!-- logout handling -->
   <logout invalidate-session="true" logout-success-url="/?logout" delete-cookies="JSESSIONID,SPRING_SECURITY_REMEMBER_ME_COOKIE" />  
   <!-- enable csrf protection  <csrf />  -->  
   <remember-me services-ref="rememberMeServices" key="clarkerpi" />

  </http>  

  <beans:bean id="rememberMeServices"  class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices">
    <beans:property name="tokenRepository" ref="customTokenRepository" />
    <beans:property name="userDetailsService" ref="userDetailsService" />
    <beans:property name="key" value="clarkerpi" />
 </beans:bean> 

 <authentication-manager alias="authenticationManager">
    <authentication-provider ref="authenticationProvider" />  
 </authentication-manager>   

 <beans:bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <beans:property name="userDetailsService" ref="userDetailsService" />
 </beans:bean>


</beans:beans>

几乎一切正常。我可以登录并查看＆＃34;记住我＆＃34;它会创建cookie，持久化令牌以及所有这些。如果我擦除JSESSIONID cookie，我仍然可以访问受保护的资源。

但我有一个问题......

如果我访问localhost / projectname /，＆＃34; /＆＃34;作为我的登录页面，有没有任何本地方式（弹簧安全）重定向到target-url，对于那些有remember_me cookie的人来说是/ home？我可以毫无问题地访问任何受保护的资源，但我想键入localhost / projectname /并访问/ home。当然，让登录页面可用于非记忆我登录。

问题2）我对Spring安全+ cookie处理非常陌生，可以删除JSESSIONID和Remember_me cookies，就像我在注销时一样吗？或？

提前谢谢， // fferrandini

Answer 1

我找到了解决方案。

弹簧安全可以完美地完成工作。当你有“remember_me”活动并访问受保护的资源时，它确实像魅力一样工作，这就是他的全部工作。春天安全doenst照顾重定向或“我想用auth做什么”...

解决方案很简单。

我在mkyong找到了这个方法：

private boolean isRememberMeAuthenticated() {

    Authentication authentication =          SecurityContextHolder.getContext().getAuthentication();
    if (authentication == null) {
       return false;
    }

    return RememberMeAuthenticationToken.class.isAssignableFrom(authentication.getClass());
 }

您可以在控制器中设置它，甚至可以更好地设置过滤器。我在登录映射中设置了它......“/”。如果true重定向到/ home，则以其他方式登录。

希望这对某人有所帮助！

春天你很漂亮!!洛尔

Answer 2

更改您的登录页面＆＃34; / login＆＃34;和 <intercept-url pattern="/login" access="permitAll()"/>并映射＆＃34; /＆＃34;到＆＃34; / home＆＃34;

Spring Security +记住我支持+自动重定向

2 个答案: