Spring Security中具有不同命名空间的多个登录表单

时间:2016-07-01 04:37:42

标签: java spring-security namespaces multiple-forms

我想创建两个具有不同命名空间的表单登录,一个用于用户登录(命名空间默认为“/”),一个用于管理员登录,命名空间为“/ admin”。 当我运行程序时,用户的表单登录运行正常。但是管理员的表单登录失败。

这是我的文件弹簧安全性:

<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<http pattern="/login*" security="none" />
<http pattern="/admin/" security="none" />

<http pattern="/admin/**">
    <intercept-url pattern='admin/**' access='ROLE_ADMIN' />
    <access-denied-handler error-page="/user/403.jsp" />
    <form-login login-page="/adminLogin" default-target-url="/adminAccess"
        authentication-failure-url="/adminLogin?error" username-parameter="username"
        password-parameter="password" />
    <logout logout-success-url="/adminLogin?logout" />
    <http-basic />
</http>
<http>
    <intercept-url pattern="/user" access="ROLE_USER" />
    <intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN" />
    <access-denied-handler error-page="/user/403.jsp" />
    <form-login login-page="/login" default-target-url="/userAccess"
        authentication-failure-url="/login?error" username-parameter="username"
        password-parameter="password" />
    <logout logout-success-url="/login?logout" />
</http>

<beans:bean id="daoAuthenticationProvider"
    class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
    <beans:property name="userDetailsService" ref="userDetailsService" />
</beans:bean>

<beans:bean id="authenticationManager"
    class="org.springframework.security.authentication.ProviderManager">
    <beans:property name="providers">
        <beans:list>
            <beans:ref local="daoAuthenticationProvider" />
        </beans:list>
    </beans:property>
</beans:bean>

<authentication-manager erase-credentials="false">
    <authentication-provider user-service-ref="userDetailsService">
    </authentication-provider>
</authentication-manager>

当我登录表格登录管理员(名称空间“/ admin”)时,错误发生在消息传递“HTTP状态404 - 没有映射名称空间[/ admin]的行动”和行动名称[j_spring_security_check]与上下文关联路径[/ Java-framework]。“

我的web.xml文件中的订单过滤器:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<!-- Define filter for Struts 2 -->
<filter>
    <filter-name>struts2</filter-name>
    <filter-class>org.apache.struts2.dispatcher.ng.filter.StrutsPrepareAndExecuteFilter</filter-class>
</filter>

<filter>
    <filter-name>encodingFilter</filter-name>
    <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
    <init-param>
        <param-name>encoding</param-name>
        <param-value>UTF-8</param-value>
    </init-param>
    <init-param>
        <param-name>forceEncoding</param-name>
        <param-value>true</param-value>
    </init-param>
</filter>

<filter-mapping>
    <filter-name>encodingFilter</filter-name>
    <url-pattern>/* </url-pattern>
</filter-mapping>

<filter-mapping>
    <filter-name>struts2</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

我的struts.xml文件中的操作:

<package name="default" namespace="/" extends="struts-default">
    <action name="login">  
        <result>USER_LOGIN_SPRING_SECURITY</result>  
    </action> 
    <action name="userAccess" class="springAdminAction" method="execute">
        <result name="success">USER_SPRING_SECURITY</result>
    </action>


<package name="admin" namespace="/admin" extends="default-web-admin">
<action name="adminAccess" class="springAdminAction" method="execute">
        <result name="success">ADMIN_SPRING_SECURITY</result>
    </action>       
<action name="adminLogin">
        <result>ADMIN_LOGIN_SPRING_SECURITY</result>  
    </action>

1 个答案:

答案 0 :(得分:0)

看起来admin/**中的模式<http pattern="/admin/**">是附加的。

<http pattern="/admin/**">
    <intercept-url pattern='/admin/**' access='ROLE_ADMIN' />

这会提示Spring Security受保护的网址/admin/admin/**而不是/admin/**

请尝试以下操作,看看是否可以提供帮助:

<http pattern="/admin/**">
    <intercept-url pattern='/**' access='ROLE_ADMIN' />

<强>编辑:

从你的错误:

  

HTTP状态404 - 没有映射名称空间[/ admin]和   与上下文路径关联的操作名称[j_spring_security_check]   [/ Java的框架。

到服务器的URL POST应为/admin/j_spring_security_check,但弹出安全表单登录以触发身份验证过程的默认URL为/j_spring_security_check

这导致Spring Security通过身份验证,/admin/j_spring_security_check的请求将传递给Struts过滤器并且您收到了该错误。

j_spring_security_check的网址可以通过login-processing-url上的<form-login>属性覆盖:

login-processing-url="/admin/j_spring_security_check"

请尝试以下操作:

<form-login login-page="/adminLogin" 
            login-processing-url="/admin/j_spring_security_check" 
            default-target-url="/adminAccess"
            authentication-failure-url="/adminLogin?error" 
            username-parameter="username"
            password-parameter="password" />

已编辑2:

从你的另一个错误,

  

HTTP状态404 - 没有映射名称空间[/ admin]和   与上下文路径关联的操作名称[j_spring_security_logout]   [/ Java的框架]

原因类似,表单注销的默认URL为j_spring_security_logout。您可以通过logout-url覆盖它。

您的退出过滤器将如下所示:

<logout logout-url="/admin/j_spring_security_logout" 
        logout-success-url="/adminLogin?logout" />
相关问题
最新问题