问候所有,我使用的是spring security 3.0.2,urlRewrite 3.1.0 ,我有一个弹簧安全问题,我有一个规则,即应用程序中的所有页面都需要身份验证,除了一些页面,所以我的security.xml是:
<http use-expressions="true" >
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/error" filter="none" />
<intercept-url pattern="/**" access="isAuthenticated()" />
.
.
.</http>
在web.xml中我定义了错误页面
<error-page>
<error-code>404</error-code>
<location>/p/error</location>
</error-page>
问题是,如果我不是登录用户,并且在应用程序中输入了一些不像app / notFoundUrl那样的网址,那么Spring安全性会将此页面与需要身份验证的模式/ **进行匹配,因此用户未按预期重定向到错误页面,但重定向到登录页面,然后重定向到错误页面
我希望如果用户输入了一个坏网址,如果他已经登录,他就会直接重定向到错误页面。
我认为问题与web.xml有关,就是这样:
<?xml version="1.0" encoding="ISO-8859-1"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
<!-- Beans in these files will makeup the configuration of the root web application context -->
<!-- Bootstraps the root web application context before servlet initialization-->
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<!-- Deploys the 'projects' dispatcher servlet whose configuration resides in /WEB-INF/servlet-config.xml-->
<servlet>
<servlet-name>p</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/servlet-config.xml
</param-value>
</init-param>
</servlet>
<!-- Maps all /p URLs to the 'p' servlet -->
<servlet-mapping>
<servlet-name>p</servlet-name>
<url-pattern>/p/*</url-pattern>
</servlet-mapping>
<error-page>
<error-code>404</error-code>
<location>/p/error</location>
</error-page>
<!-- force encoding on the requests -->
<filter>
<filter-name>encoding-filter</filter-name>
<filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class>
<init-param>
<param-name>encoding</param-name>
<param-value>utf-8</param-value>
</init-param>
<init-param>
<param-name>forceEncoding</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>encoding-filter</filter-name>
<url-pattern>/*</url-pattern>
<dispatcher>REQUEST</dispatcher>
<dispatcher>FORWARD</dispatcher>
</filter-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<filter>
<filter-name>UrlRewriteFilter</filter-name>
<filter-class>org.tuckey.web.filters.urlrewrite.UrlRewriteFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>UrlRewriteFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- Security -->
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/application-config.xml
/WEB-INF/app-security.xml
/WEB-INF/mvc-config.xml
</param-value>
</context-param>
<session-config>
<session-timeout>1</session-timeout>
</session-config>
</web-app>
任何想法如何解决这个问题?
答案 0 :(得分:6)
你说过:
我希望如果用户在登录时输入了错误的网址,他会直接重定向到错误页面
Spring安全性会在知道其url是否有效之前拦截每个请求,因此获取它的方法是拦截所有具有某些模式的有效URL,并在最后添加一个可由任何人访问的一般模式
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/validUrl1Pattern" access="permitAll" />
<intercept-url pattern="/validUrl2Pattern" access="permitAll" />
<intercept-url pattern="/validUrl2Pattern" access="permitAll" />
...
<intercept-url pattern="/**" access="ROLE_ANONYMOUS" />
如果您的应用程序很复杂,这种配置的问题可能很难找到所有有效网址的模式。
答案 1 :(得分:3)
当您设置属性access="true"时,您告诉spring-security检查用户是否具有名为“true”的安全属性(通常是一个角色)。我认为这不是你的目标吗?
要绕过安全性,您可以设置filters="none"并跳过访问属性:
<intercept-url pattern="/errorpage" filters="none" />
答案 2 :(得分:3)
是的,只需添加:
<intercept-url pattern="/error/**" access="permitAll" />
这将使任何人都可以访问您的所有错误页面。
答案 3 :(得分:2)
在<intercept-url/>元素列表中添加/错误,以便它不需要身份验证才能访问它。