彈簧安全問題

Question

尊敬的全部， 新的是Spring Security。我已經配置了我的服務器來檢查Spring Security的登錄。現在我將它部署在某個服務器上並通過域名訪問它。我能夠訪問除SpringSecurity之外的所有網址。它檢查網址嗎？我怎樣才能改變它？

<intercept-url pattern="/login.do" access="fullyAuthenticated" /> 
    <form-login login-page="/index.do" always-use-default-target="false" default-target-url="/login.do" /> 
    <anonymous /> 
    <logout invalidate-session="true" logout-success-url="/index.do" logout-url="/j_spring_security_logout" /> 
    <custom-filter before="FORM_LOGIN_FILTER" ref="springSocialSecurityAuthenticationFilter" /> 
    <remember-me services-ref="springSocialSecurityRememberMeServices" key="springSocialSecurity" /> 
</http> 

感謝， OP

Answer 1

首先，在intercept-url，你必須寫access="isFullyAuthenticated()"或使用Spring Security的常數：IS_AUTHENTICATED_FULLY

你的宣言是<intercept-url pattern="/login.do" access="fullyAuthenticated" /> 意義您必須登錄才能訪問login.do頁面。

我不認爲這是你想要的。

這裏的如何intercept-url作品一些例子：

<intercept-url pattern="/index.jsp" access="permitAll" /> 
    <intercept-url pattern="/secure/extreme/**" access="hasRole('supervisor')" /> 
    <intercept-url pattern="/secure/**" access="isAuthenticated()" /> 
    <intercept-url pattern="/listAccounts.html" access="isAuthenticated()" /> 
    <intercept-url pattern="/post.html" access="hasAnyRole('supervisor','regularuser')" /> 
    <intercept-url pattern="/**" access="denyAll" /> 

你必須定義一個基於應用程序的URL授權的水平。 要訪問登錄頁面，您需要讓登錄頁面爲permitAll訪問...所以用戶可以登錄。

如果用戶在未登錄的情況下嘗試訪問isAuthenticated()頁面，將會有重定向到登錄頁面。

您可以對模式進行多重訪問。例如，您可以決定一個頁面可以與認證或匿名角色訪問：

<intercept-url pattern='/page2.jsp' access='ROLE_ANONYMOUS,ROLE_USER'/>