那些遇到过的问题

Spring Security:如何排除某些资源?

jef*_*ter 39 spring-security

我有以下定义......

    <bean id="fsi" class="org.springframework.security.intercept.web.FilterSecurityInterceptor">
    <property name="authenticationManager" ref="authenticationManager"/>
    <property name="accessDecisionManager" ref="httpRequestAccessDecisionManager"/>
    <property name="objectDefinitionSource">
      <sec:filter-invocation-definition-source >
            <sec:intercept-url pattern="/secure/css/**"        access="ROLE_TIER0"/>
            <sec:intercept-url pattern="/secure/images/**"     access="ROLE_TIER0"/>
            <sec:intercept-url pattern="/**"                   access="ROLE_TIER0"/>
      </sec:filter-invocation-definition-source>
    </property>
    </bean>
Run Code Online (Sandbox Code Playgroud)

我想拥有这个网址的资源......

"/不安全/**"

打开所有呼叫,即没有安全性.

我试过添加......

<sec:intercept-url pattern="/nonsecure/**" access="permitAll" />
Run Code Online (Sandbox Code Playgroud)

但这会导致Websphere抛出错误 

Unsupported configuration attributes: [permitAll]
Run Code Online (Sandbox Code Playgroud)

谁能告诉我如何从安全性中排除这个URL?

eny*_*nyo 84

在spring security 3.1.x中,不推荐使用filters ="none".相反,你使用这样的多个<http>标签:

<http pattern="/nonsecure/**" security="none"/>
Run Code Online (Sandbox Code Playgroud)

http://static.springsource.org/spring-security/site/docs/3.1.x/reference/springsecurity-single.html#ns-form-and-basic

Gop*_*opi 24

我认为你必须在安全xml中为use-expressions你的http配置添加标签,例如:

<http auto-config="true" use-expressions="true">
...
...
</http>
Run Code Online (Sandbox Code Playgroud)

编辑:嗯,我不知道你正在使用什么版本的弹簧安全.我知道这适用于3.0,但对于旧版本,我不确定.

  • 小心使用属性`auto-config` - 我刚刚学到了很难的方法.从Spring [文档](http://docs.spring.io/spring-security/site/docs/3.2.5.RELEASE/reference/htmlsingle/#appendix-namespace):"不建议使用此属性. " (2认同)

Muh*_*taf 19 

<security:http auto-config='true'>
    <security:intercept-url pattern="/getfeed/**" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
    <security:intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
    <security:http-basic />
</security:http>
Run Code Online (Sandbox Code Playgroud)

access =" IS_AUTHENTICATED_ANONYMOUSLY "是解决方案.我在以下链接中找到了它:http://syntx.io/adding-http-basic-auth-to-restful-services-in-java-and-spring/

截距自上而下评估.如果你在/ getIntelFeed/**之前写这个/**,那么所有服务都将通过/**并且安全性将应用于所有服务.在这种情况下/ getIntelFeed/**将无效.

Gan*_*alf 17

尝试:

<sec:intercept-url pattern="/nonsecure/**" filters="none" />
Run Code Online (Sandbox Code Playgroud)

  • 在Spring 3.1中不再支持filters ="none" (30认同)
  • 我一般同意这个答案; 但是,一个人们经常错过的过滤器="无"的一个常见问题是,如果链中没有Spring Security过滤器,则没有SecurityContext,因此没有明显的安全检查(例如服务层注释或引用Spring Security对象的JSP自定义标签) )可能意外失败.如果您在动态内容的网页上使用filters ="none",请务必小心! (2认同)
  • ``org.springframework.beans.factory.parsing.BeanDefinitionParsingException:配置问题:不再支持使用"filters ='none'".请为要排除的模式定义单独的<http>元素,并使用属性"security ='none'"``` (2认同)

归档时间:

查看次数:

74006 次

最近记录:

10 年,3 月 前
相关归档
Thymeleaf的Spring Security简单示例 15
@PostAuthorize和@PostFilter注释的有效用例 12
谁能深入了解 @PreAuthorize 注释的工作原理? 11
Spring + GraphQL - 可选授权 6
如何处理 Spring Security AuthenticationProviders 抛出的运行时异常? 5
spring security 3.1 isAuthenticated()无效 3
注销时如何使用户会话无效? 2
如何在spring security中检查多个表以进行身份​​验证 2
Spring安全密码hash + salt 2
Spring Security 3.2.1具有不同WebSecurityConfigurerAdapters的多个登录表单 2
难疑归档
Python有一个字符串'contains'子串方法吗? 3601
如何制作一系列功能装饰器? 2647
樱桃挑选Git意味着什么? 2117
如何从Bash脚本检查程序是否存在? 2032
轻松获取最新的git子模块 1748
禁用Chrome缓存以进行网站开发 1563
将项目导入Eclipse后,"必须覆盖超类方法"错误 1223
如何正确强制推送Git? 1206
创建一个带参数的Bash别名? 1164
使用node.js作为简单的Web服务器 1068