Как включить весеннюю безопасность?

Question

Интересно, почему моя весенняя безопасность не работает. У меня есть эта весна-security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security" 
      xmlns:beans="http://www.springframework.org/schema/beans" 
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
      xsi:schemaLocation="http://www.springframework.org/schema/beans 
      http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
      http://www.springframework.org/schema/security 
      http://www.springframework.org/schema/security/spring-security-3.1.xsd"> 

    <http auto-config='true'> 
     <intercept-url pattern="/**" access="ROLE_USER" /> 
     <port-mappings> 
      <port-mapping http="8088" https="9443"/> 
     </port-mappings> 
    </http> 

    <authentication-manager> 
     <authentication-provider> 
      <user-service> 
       <user name="admin" password="password2" authorities="ROLE_USER" /> 
       <user name="jimi" password="jimispassword" authorities="ROLE_USER, ROLE_ADMIN" /> 
       <user name="bob" password="bobspassword" authorities="ROLE_USER" /> 
      </user-service> 
     </authentication-provider> 
    </authentication-manager> 

</beans:beans> 

Тогда я получил эту web.xml

<?xml version="1.0" encoding="UTF-8"?> 
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"> 

    <context-param> 
     <param-name>contextConfigLocation</param-name> 
     <param-value> 
      /WEB-INF/spring/admin-servlet-common.xml 
      /WEB-INF/spring/admin-servlet-controller.xml 
      /WEB-INF/spring/admin-servlet-security.xml 
      /WEB-INF/spring/admin-servlet-service.xml 
      /WEB-INF/spring-security.xml 
      classpath:ses-service.xml 
     </param-value> 
    </context-param> 

    <context-param> 
     <param-name>log4jConfigLocation</param-name> 
     <param-value>/WEB-INF/log4j.xml</param-value> 
    </context-param> 

    <listener> 
     <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class> 
    </listener> 
    <listener> 
     <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class> 
    </listener> 


    <!-- Reads request input using UTF-8 encoding --> 
    <filter> 
     <filter-name>characterEncodingFilter</filter-name> 
     <filter-class>org.springframework.web.filter.CharacterEncodingFilter</filter-class> 
     <init-param> 
      <param-name>encoding</param-name> 
      <param-value>UTF-8</param-value> 
     </init-param> 
     <init-param> 
      <param-name>forceEncoding</param-name> 
      <param-value>true</param-value> 
     </init-param> 
    </filter> 
    <filter-mapping> 
     <filter-name>characterEncodingFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
    </filter-mapping> 

    <!-- Enables clean URLs with JSP views e.g. /welcome instead of /app/welcome --> 
    <filter> 
     <filter-name>UrlRewriteFilter</filter-name> 
     <filter-class>org.tuckey.web.filters.urlrewrite.UrlRewriteFilter</filter-class> 
    </filter> 

    <filter-mapping> 
     <filter-name>UrlRewriteFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
    </filter-mapping> 

    <!-- Spring Security --> 
    <filter> 
     <filter-name>springSecurityFilterChain</filter-name> 
     <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> 
    </filter> 

    <filter-mapping> 
     <filter-name>springSecurityFilterChain</filter-name> 
     <url-pattern>/*</url-pattern> 
    </filter-mapping> 

    <!-- Handles all requests into the application --> 
    <servlet> 
     <servlet-name>ses</servlet-name> 
     <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> 
     <load-on-startup>2</load-on-startup> 
    </servlet> 

    <servlet-mapping> 
     <servlet-name>ses</servlet-name> 
     <url-pattern>/app/*</url-pattern> 
    </servlet-mapping> 
</web-app> 

Но ни выдает сообщение об ошибке и не дает безопасности. Нет никаких изменений, это мой webapp, и я все еще могу просматривать страницы, например. http://localhost:8088/admin/login и http://localhost:8088/admin/menu. Этот проект является частью администрирования веб-приложения, и я предоставляю безопасность для сети администратора. Что может быть сделано? Моя собственная страница входа, которую я хотел бы использовать, - http://localhost:8088/admin/login, и я хотел бы сохранить остальные страницы/admin * для роли администратора.

Answer 1

UrlRewriteFilter указаны первый и обойдет Spring Security путем переадресации на другие места в пределах приложения. В общем, springSecurityFilterChain должен быть первым в вашем web.xml, чтобы он перехватывал все запросы.

Я также рассмотрю возможность удаления UrlRewriteFilter вместе (так как это может привести к очень запутанным сопоставлениям в ваших перехватчиках-URL-адресах. В прошлом это использовалось для удаления отображения/app, присвоенного Sprends DispatcherServlet, чего легко избежать отображение DispatcherServlet в/

<servlet-mapping> 
    <servlet-name>ses</servlet-name> 
    <url-pattern>/</url-pattern> 
</servlet-mapping> 

Вы можете найти более подробную дискуссию о Spring Security и UrlRewriteFilter на Spring Security forums

Answer 2

<intercept-url pattern="/**" access="ROLE_USER" /> 

делает это означает, что вы позволяете доступ ко всем страницам для пользователя с ROLE_USER (все 3 пользователей имеют эту роль)?

<intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> 
<intercept-url pattern="/**" access="ROLE_USER" /> 

должен разрешить доступ к страницам админа только для пользователей с ROLE_ADMIN, и остальную часть страниц, как это работает сейчас