Jersey Spring-Security HTML AJAX 未按预期工作

Posted 2023-02-27

【中文标题】Jersey Spring-Security HTML AJAX 未按预期工作

【英文标题】：Jersey Spring-Security HTML AJAX not working as expected

【发布时间】：2012-05-15 02:50:54

【问题描述】：

目前它保护 jsp 页面并可以显示它们，但无法找到 REST 端点（所有其余 AJAX 调用为 404）。我已经做了其他事情来改变它，它找到了其余的端点，但是找不到 html 并且没有执行安全检查。

我错过了什么？

安全性.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <http pattern="/images/**" security="none"/>
    <http pattern="/css/**" security="none"/>
    <http pattern="/js/**" security="none"/>
    <http auto-config="true" disable-url-rewriting="true">
         <intercept-url pattern="/login-page.html" access="ROLE_ANONYMOUS"/>
         <intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
        <form-login login-page='/login-page.html' default-target-url="/static-page.jsp" />
    </http>
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select USERNAME, PASSWORD, ENABLED 
                    from USERS where USERNAME=?" 
                authorities-by-username-query="
                    select U.USERNAME, UR.AUTHORITY from USERS U, ROLES UR 
                    where U.USERNAME=UR.USERNAME and U.USERNAME=?"      
            />
        </authentication-provider>
    </authentication-manager>
</beans:beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:server-context.xml, classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>jersey-servlet</servlet-name>
        <servlet-class>
            com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>service.admin</param-value>
        </init-param>
        <init-param>
            <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>jersey-servlet</servlet-name>
        <url-pattern>/test-app/*</url-pattern>
    </servlet-mapping>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

在 webapp 文件夹下，我有 js & css & images 文件夹以及 WEB-INF 下的 *.html 和 *.jsp 文件是 web.xml 文件夹所在的位置。是否还有其他地方我应该放置 html 文件以及如何将其映射到 web.xml 中。

【问题讨论】：

您实际上可能希望将其分解为 2 个单独的问题。您可能会得到更好的答案，因为参与您的人不会因相互冲突的细节而分心。

让我们假设这是关于您的第二个问题：“它也适用于 HTML 页面吗？”你的意思是它可以用于 HTML 页面吗？

Done 删除了第二个问题，但要回答您的问题，spring-security 可以保护静态 html 文件并在未登录时强制登录

是的！我已经在我的应用程序中做到了这一点。在发布示例之前，我必须启动我的另一台计算机并查看我的代码。

我很感激，这件事一直让我发疯，第一次使用 spring-security 并且我几乎就在那里，但不是一直都在。有这么多不同的做事方式，这是一个迷宫

【参考方案1】：

为了保护您的 HTML 文件，您首先需要将它们放在安全的位置。 WEB-INF 文件夹是部署在您的应用程序中的唯一一个不能通过 HTTP 访问的文件夹；因此，文件夹是保存 HTML 文件的好地方。我推荐/WEB-INF/html。

接下来，您需要告诉 Spring 将所有对 *.html 的请求映射到 /WEB-INF/html 文件夹。这需要放在 Spring servlet.xml 文件中的 xml 元素中。

html-servlet.xml：

<mvc:resources mapping="/**" location="/WEB-INF/html/" />

更多信息请参见How To Secure MVC Resources。

您需要在 security.xml 文件中为每个 HTML 文件添加一些 http 条目：

<intercept-url pattern="/users-only.html" access="ROLE_USER" />

这使用 Spring 过滤器来检查资源并根据用户的角色重定向它。

最后，您需要在 web.xml 中为处理对 *.html 的请求的 servlet 输入一个条目：

web.xml：

<!--  Security -->
<servlet>
    <servlet-name>html</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/html-servlet.xml</param-value>
    </init-param>
</servlet>

<!--  Secure static HTML files. See applicationContext-Security.xml intercept-url for individual HTML file control over security.-->
<servlet-mapping>
    <servlet-name>html</servlet-name>
    <url-pattern>*.html</url-pattern>
</servlet-mapping>

【讨论】：

我必须为此使用 spring-webmvc 吗？

我认为是 Spring Web 包。你必须尝试一下。我认为只要您可以确保对 *.html 的所有请求都由通过安全过滤器的 servlet 处理，它就可以工作。我花了一些时间才让它为我工作，我在 Google App Engine 上使用 Spring 3.0.5 和 Spring security 3.0.7。

您也许可以将 *.html 映射到单独的 Jersey servlet 中，但由于我不熟悉 Jersey 映射，因此我帮不上什么忙。

它为 HTML 和 REST ENDPOINTS 进行重定向，但它为登录页面获取 404，我尝试添加此 有它作为这个 都导致 404

我遇到了很多问题，jmort253 非常亲切地帮我解决了。最大的问题是没有完全理解一切在做什么。基本上其余的都可以找到并得到保护，但我从错误的 url 访问它。其余的 jmort253 解释得很完美。