如何正确定义Spring Security的web.xml和基于java的配置

时间:2016-09-30 07:03:03

标签: java google-app-engine spring-security csrf thymeleaf

我的项目完全基于基于java的配置。因此,我没有使用标准web.xml,而是:

public class MyWebAppInitializer implements WebApplicationInitializer {

    @Override
    public void onStartup(ServletContext container) throws ServletException {
        AnnotationConfigWebApplicationContext rootContext = new AnnotationConfigWebApplicationContext();
          rootContext.register(WebAppConfiguration.class);
          AnnotationConfigWebApplicationContext dispatcherContext = new AnnotationConfigWebApplicationContext();

          ServletRegistration.Dynamic dispatcher = container.addServlet("dispatcher", new DispatcherServlet(dispatcherContext));
          dispatcher.setLoadOnStartup(1);
          dispatcher.addMapping("/");
    }

这项工作很好,我能够在Thymeleaf模板中获得csrf令牌:

<meta name="_csrf" th:content="${_csrf.token}"/>
<meta name="_csrf_header" th:content="${_csrf.headerName}"/>

但现在我需要将我的项目部署到Google App Engine,它需要有web.xml,否则它甚至无法启动。 我添加了web.xml,并删除上面的java配置:

<context-param>
        <param-name>contextClass</param-name>
        <param-value>
        org.springframework.web.context.support.AnnotationConfigWebApplicationContext
    </param-value>
    </context-param>

    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>com.demshin.medpro.configuration.WebAppConfiguration</param-value>
    </context-param>

    <servlet>
        <servlet-name>springServlet</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <init-param>
            <param-name>contextClass</param-name>
            <param-value>org.springframework.web.context.support.AnnotationConfigWebApplicationContext</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>springServlet</servlet-name>
        <url-pattern>/*</url-pattern>
    </servlet-mapping>

当我尝试打开我的应用程序的网址时,我得到一个例外:

  

org.thymeleaf.exceptions.TemplateProcessingException:异常   评估SpringEL表达式:&#34; _csrf.token&#34;

我认为,问题在于过滤链损坏。 但是,如果我将其添加到web.xml:

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

而不是这个java配置:

public class SecurityWebApplicationInitializer extends AbstractSecurityWebApplicationInitializer {
    public SecurityWebApplicationInitializer() {
        super(WebSecurityConfiguration.class);
    }
}

,虽然跟踪有点不同,但问题仍然存在。

那么如何治愈呢?也许有办法摆脱Google App Engine上的web.xml? 谢谢。

2 个答案:

答案 0 :(得分:0)

如果保留java配置,然后创建一个空的web.xml,例如

,该怎么办?
<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
     version="3.1">

</web-app>

答案 1 :(得分:0)

我找到了一些有用的信息here。 问题是WebApplicationInitializer需要Servlet 3.0,但Appengine仅支持Servlet 2.5。所以我们必须使用基于纯XML的配置,至少用于初始化。并手动配置web.xml中的Spring过滤器/ servlet。 不幸的是,如果没有完全将spring配置移动到xml,我就无法工作,只是添加spring-security.xml不起作用。

我们也可以投票支持Servlet 3.0支持here,但不幸的是,Google似乎没有计划添加它。