Jersey Spring-Security HTML AJAX 未按预期工作

Posted

技术标签:

【中文标题】Jersey Spring-Security HTML AJAX 未按预期工作【英文标题】:Jersey Spring-Security HTML AJAX not working as expected 【发布时间】:2012-05-15 02:50:54 【问题描述】:

目前它保护 jsp 页面并可以显示它们,但无法找到 REST 端点(所有其余 AJAX 调用为 404)。我已经做了其他事情来改变它,它找到了其余的端点,但是找不到 html 并且没有执行安全检查。

我错过了什么?

安全性.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <http pattern="/images/**" security="none"/>
    <http pattern="/css/**" security="none"/>
    <http pattern="/js/**" security="none"/>
    <http auto-config="true" disable-url-rewriting="true">
         <intercept-url pattern="/login-page.html" access="ROLE_ANONYMOUS"/>
         <intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
        <form-login login-page='/login-page.html' default-target-url="/static-page.jsp" />
    </http>
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select USERNAME, PASSWORD, ENABLED 
                    from USERS where USERNAME=?" 
                authorities-by-username-query="
                    select U.USERNAME, UR.AUTHORITY from USERS U, ROLES UR 
                    where U.USERNAME=UR.USERNAME and U.USERNAME=?"      
            />
        </authentication-provider>
    </authentication-manager>
</beans:beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:server-context.xml, classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>jersey-servlet</servlet-name>
        <servlet-class>
            com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>service.admin</param-value>
        </init-param>
        <init-param>
            <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>jersey-servlet</servlet-name>
        <url-pattern>/test-app/*</url-pattern>
    </servlet-mapping>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

在 webapp 文件夹下,我有 js & css & images 文件夹以及 WEB-INF 下的 *.html 和 *.jsp 文件是 web.xml 文件夹所在的位置。是否还有其他地方我应该放置 html 文件以及如何将其映射到 web.xml 中。

【问题讨论】:

您实际上可能希望将其分解为 2 个单独的问题。您可能会得到更好的答案,因为参与您的人不会因相互冲突的细节而分心。 让我们假设这是关于您的第二个问题:“它也适用于 HTML 页面吗?”你的意思是它可以用于 HTML 页面吗? Done 删除了第二个问题,但要回答您的问题,spring-security 可以保护静态 html 文件并在未登录时强制登录 是的!我已经在我的应用程序中做到了这一点。在发布示例之前,我必须启动我的另一台计算机并查看我的代码。 我很感激,这件事一直让我发疯,第一次使用 spring-security 并且我几乎就在那里,但不是一直都在。有这么多不同的做事方式,这是一个迷宫 【参考方案1】:

为了保护您的 HTML 文件,您首先需要将它们放在安全的位置。 WEB-INF 文件夹是部署在您的应用程序中的唯一一个不能通过 HTTP 访问的文件夹;因此,文件夹是保存 HTML 文件的好地方。我推荐/WEB-INF/html。

接下来,您需要告诉 Spring 将所有对 *.html 的请求映射到 /WEB-INF/html 文件夹。这需要放在 Spring servlet.xml 文件中的 xml 元素中。

html-servlet.xml:

<mvc:resources mapping="/**" location="/WEB-INF/html/" />

更多信息请参见How To Secure MVC Resources。

您需要在 security.xml 文件中为每个 HTML 文件添加一些 http 条目:

<intercept-url pattern="/users-only.html" access="ROLE_USER" />

这使用 Spring 过滤器来检查资源并根据用户的角色重定向它。

最后,您需要在 web.xml 中为处理对 *.html 的请求的 servlet 输入一个条目:

web.xml:

<!--  Security -->
<servlet>
    <servlet-name>html</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/html-servlet.xml</param-value>
    </init-param>
</servlet>

<!--  Secure static HTML files. See applicationContext-Security.xml intercept-url for individual HTML file control over security.-->
<servlet-mapping>
    <servlet-name>html</servlet-name>
    <url-pattern>*.html</url-pattern>
</servlet-mapping>

【讨论】:

我必须为此使用 spring-webmvc 吗? 我认为是 Spring Web 包。你必须尝试一下。我认为只要您可以确保对 *.html 的所有请求都由通过安全过滤器的 servlet 处理,它就可以工作。我花了一些时间才让它为我工作,我在 Google App Engine 上使用 Spring 3.0.5 和 Spring security 3.0.7。 您也许可以将 *.html 映射到单独的 Jersey servlet 中,但由于我不熟悉 Jersey 映射,因此我帮不上什么忙。 它为 HTML 和 REST ENDPOINTS 进行重定向,但它为登录页面获取 404,我尝试添加此 有它作为这个 都导致 404 我遇到了很多问题,jmort253 非常亲切地帮我解决了。最大的问题是没有完全理解一切在做什么。基本上其余的都可以找到并得到保护,但我从错误的 url 访问它。其余的 jmort253 解释得很完美。

以上是关于Jersey Spring-Security HTML AJAX 未按预期工作的主要内容,如果未能解决你的问题,请参考以下文章

spring-security oauth2 REST 服务器在错误凭据(400)错误响应中不需要的 Stacktrace

Jersey 中不允许的 405 方法正在返回 Tomcat 的 405 页面

在 Oauth2 令牌请求 URL 中隐藏密码

Spring-Security

Spring-Security:升级到 Spring-Security 4.1 后,用户名发送为空以进行登录

在使用 Oauth、SAML 和 spring-security 的多租户的情况下从 spring-security.xml 中获取错误