我有一个spring + hibernate项目,它使用spring security进行身份验证,一切都像魅力一样。我有下面的spring-security.xml:
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.2.xsd">
<!-- enable use-expressions -->
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/home" access="isAuthenticated()" />
<intercept-url pattern="/home/**" access="isAuthenticated()" />
<form-login
login-page="/"
authentication-failure-url="/?error"
username-parameter="username"
password-parameter="password"
default-target-url="/home" />
<!-- access denied page -->
<access-denied-handler error-page="/403" />
<!-- logout handling -->
<logout invalidate-session="true" logout-success-url="/?logout" delete-cookies="JSESSIONID,SPRING_SECURITY_REMEMBER_ME_COOKIE" />
<!-- enable csrf protection <csrf /> -->
<remember-me services-ref="rememberMeServices" key="clarkerpi" />
</http>
<beans:bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices">
<beans:property name="tokenRepository" ref="customTokenRepository" />
<beans:property name="userDetailsService" ref="userDetailsService" />
<beans:property name="key" value="clarkerpi" />
</beans:bean>
<authentication-manager alias="authenticationManager">
<authentication-provider ref="authenticationProvider" />
</authentication-manager>
<beans:bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
<beans:property name="userDetailsService" ref="userDetailsService" />
</beans:bean>
</beans:beans>
几乎一切正常。我可以登录并查看&#34;记住我&#34;它会创建cookie,持久化令牌以及所有这些。如果我擦除JSESSIONID cookie,我仍然可以访问受保护的资源。
但我有一个问题......
如果我访问localhost / projectname /,&#34; /&#34;作为我的登录页面,有没有任何本地方式(弹簧安全)重定向到target-url,对于那些有remember_me cookie的人来说是/ home?我可以毫无问题地访问任何受保护的资源,但我想键入localhost / projectname /并访问/ home。当然,让登录页面可用于非记忆我登录。
问题2)我对Spring安全+ cookie处理非常陌生,可以删除JSESSIONID和Remember_me cookies,就像我在注销时一样吗?或?
提前谢谢, // fferrandini答案 0 :(得分:0)
我找到了解决方案。
弹簧安全可以完美地完成工作。当你有“remember_me”活动并访问受保护的资源时,它确实像魅力一样工作,这就是他的全部工作。春天安全doenst照顾重定向或“我想用auth做什么”...
解决方案很简单。
我在mkyong找到了这个方法:
private boolean isRememberMeAuthenticated() {
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
if (authentication == null) {
return false;
}
return RememberMeAuthenticationToken.class.isAssignableFrom(authentication.getClass());
}
您可以在控制器中设置它,甚至可以更好地设置过滤器。我在登录映射中设置了它......“/”。如果true重定向到/ home,则以其他方式登录。
希望这对某人有所帮助! 春天你很漂亮!!洛尔答案 1 :(得分:0)
更改您的登录页面&#34; / login&#34;和
<intercept-url pattern="/login" access="permitAll()"/>并映射&#34; /&#34;到&#34; / home&#34;