Question

我已经设置了一个spring-boot + spring-mvc + spring-security项目。

除了无效的网址外，一切都按预期正常工作。

如果我发出：

http://siteaddr.com/invalid/url

我希望看到我的404找不到页面，但是spring-security会首先重定向到登录页面，然后在身份验证后显示404找不到！

我认为这不应该如何运作！

这是我的Websecurity配置：

package com.webitalkie.webapp.config;

import java.util.EnumSet;

import javax.servlet.DispatcherType;
import javax.servlet.ServletContext;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.context.AbstractSecurityWebApplicationInitializer;

import com.webitalkie.webapp.security.DatabaseUserDetailsServic;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private DatabaseUserDetailsServic userDetailsService;
    @Autowired
    private ServletContext servletContext;

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        servletContext.getFilterRegistration(AbstractSecurityWebApplicationInitializer
                .DEFAULT_FILTER_NAME).addMappingForUrlPatterns(EnumSet
                        .allOf(DispatcherType.class), false, "/*");

        http.csrf().disable();
        http.authorizeRequests()
        .antMatchers("/home/", "/home", "/home/index", "/", "/favicon.ico").permitAll()
        .antMatchers("/contents/**").permitAll()
        .anyRequest().authenticated()
        .and()
        .formLogin()
        .loginPage("/home/loginsec").failureUrl("/loginsecerror").permitAll()
        .and()
        .logout()
        .logoutUrl("/home/logout")
        .logoutSuccessUrl("/home/index")
        .invalidateHttpSession(true);

    }

    @Override
    @org.springframework.beans.factory.annotation.Autowired
    protected void configure(
            org.springframework.security.config.annotation
            .authentication.builders.AuthenticationManagerBuilder auth) throws Exception {

        auth.userDetailsService(userDetailsService).passwordEncoder(getPasswordEncoder());
    }

    public PasswordEncoder getPasswordEncoder() {

        return new BcryptPasswordEncoder(11);
    }
}

你们有什么想法吗？

Answer 1

要自定义您的特定用例，请按建议应用反向逻辑。你可以这样做：

1）替换

.anyRequest().authenticated()

通过

.anyRequest().anonymous()

2）添加

.antMatchers("/protected-urls/**").authenticated()

2）中的规则必须在1）之前，因为第一场比赛适用。除非您有受保护资源的公共网址前缀，否则您必须逐个声明所有经过身份验证的网址。

您还可以应用覆盖

的其他配置

public void configure(WebSecurity web)...

例如忽略静态资源：

web.ignoring().antMatchers("/favicon.ico", "*.css")

希望有所帮助。

Answer 2

这是一项安全功能，不是问题。

您的安全模型是“除非明确允许否则”。如果请求路径受到保护（即与显式permitAll路径不匹配），那么在用户进行身份验证之前，您不希望显示它不存在。在某些情况下，404可能泄露私人信息

.../user/jones是404？嗯......琼斯发生了什么事。

这就是设计良好的登录表单不会告诉您“用户未找到”或“无效密码”的原因，而是在所有失败案例中只说“无效凭据”以避免过多放弃。

获取无效URL以绕过安全性的唯一方法是反转您的安全模型，除非明确保护，否则将所有内容公开（“除非明确禁止，否则允许”）。其中有一系列问题，例如每次创建新的根路径时都必须记住更新定义。

防止spring-security将无效URL重定向到登录页面

2 个答案: