SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题

Posted 2022-11-10 aligege

问题描述：

框架使用的是SpringMVC、SpringSecurity，在做权限拦截的时候发现一个问题，假设对请求路径/user/detail进行了权限拦截，在访问/user/detail.abc的时候却能有权限访问

问题原因：

SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配，匹配规则为：/user/detail.*，因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理

解决办法：

SpringMVC支持路径匹配规则，RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性，通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为

<mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />  <!--如果没有该项配置，则默认为true-->
  </mvc:annotation-driven>

这样配置之后，你再通过“/user/detail.abc”来访问时，就会报404或405的错误了，从而达到权限拦截的目的