Spring Security kuriosität in <intercept-url - > bei der Angabe der Methode

Ich habe das Spiel mit Spring Security ein bisschen und bemerkte, die folgende kuriosität.

Wenn ich geben Sie die <http> block so in meinem security-Kontext von XML.

<http>
    <http-basic/>

    <port-mappings>
        <port-mapping http="8080" https="8181"/>
    </port-mappings>

    <intercept-url pattern="/url1**" access="ROLE_ROLE1" requires-channel="https"/>
    <intercept-url pattern="/url2**" access="ROLE_ROLE2"/>
    <intercept-url pattern="/url3**" access="ROLE_ROLE3" />
    <!-- <intercept-url pattern="/**" access="ROLE_ADMIN" />
</http>

Alle urls scheinen, so lösen Sie eine HTTP-basic-Authentifizierungs-pop-up, wenn ich auf den verschiedene URLs mit dem browser.

Dies ist gut und was ich erwartet habe, aber wenn ich einen parameter der Methode 1 der intercept-URLs wie diese:

<http>
    <http-basic/>

    <port-mappings>
        <port-mapping http="8080" https="8181"/>
    </port-mappings>

    <intercept-url pattern="/url1**" access="ROLE_ROLE1" requires-channel="https"/>
    <intercept-url pattern="/url2**" access="ROLE_ROLE2" method="GET"/>
    <intercept-url pattern="/url3**" access="ROLE_ROLE3" />
    <!-- <intercept-url pattern="/**" access="ROLE_ADMIN" />
</http>

Die basic-Authentifizierung ist deaktiviert für alle URLs außer die, die ich habe explizit gesetzt, wird die Methode auf (/url2).

Ist dies, wie soll es funktionieren, weil es scheint ein bisschen doof zu mir. Ist das ein bug?

  • Ich habe es ausprobiert und funktioniert einwandfrei.
  • also, wenn Sie gehen, um url1, werden Sie gefragt, für Ihre Authentifizierung info? Nicht nur, dass ich nicht sehen, dieses Feld, aber es geht nicht durch meine custom authentication manager. Welche version von spring security haben Sie? Ich bin mit 3.0.0.M2.
  • Getestet habe ich url3, weil ich nicht das einrichten eines https-connector für url1. Ich verwendet, spring security 2.0.4 von spring-security-Proben-tutorial-2.0.4.Krieg.
  • Ich habe das Gefühl, dass meine Anfrage nicht passend zu jedem der intercept-urls für einige Grund. Ich vermute, weil ich nicht speziell Liste der GET-Methode für url1, die Anfrage ist durch zu fallen. Ich war unter dem Eindruck, dass, wenn ich nicht Liste jede Methode sollte es passen Sie alle (wie im ersten Beispiel). Es scheint jedoch zu passen url1 irgendwann während der Anforderung, da bin ich immer Weiterleitung auf die https-url (also die "erfordert-Kanal" aufgerufen wird).
InformationsquelleAutor Vinnie | 2009-09-03
  1. 2

    Nun habe ich getestet url1 mit https und es funktioniert. Ich habe umgeleitet, und dann den login-dialog gezeigt.

    Einstellung logging level auf DEBUG druckt es: 

    DEBUG DefaultFilterInvocationDefinitionSource,http-8443-1:196 - Converted URL to lowercase, from: '/url1/'; to: '/url1/'  
DEBUG DefaultFilterInvocationDefinitionSource,http-8443-1:224 - Candidate is: '/url1/'; pattern is /url2**; matched=false  
DEBUG DefaultFilterInvocationDefinitionSource,http-8443-1:224 - Candidate is: '/url1/'; pattern is /url1**; matched=true  
DEBUG AbstractSecurityInterceptor,http-8443-1:250 - Secure object: FilterInvocation: URL: /url1/; ConfigAttributes: [ROLE_USER]
DEBUG XmlWebApplicationContext,http-8443-1:244 - Publishing event in context [org.springframework.web.context.support.XmlWebApplicationContext@17af46e]: org.springframework.security.event.authorization.AuthenticationCredentialsNotFoundEvent[source=FilterInvocation: URL: /url1/]
DEBUG ExceptionTranslationFilter,http-8443-1:150 - Authentication exception occurred; redirecting to authentication entry point

    Dies ist die Konfiguration:

    <http>
  <http-basic/>
  <port-mappings>
     <port-mapping http="8080" https="8443"/>
  </port-mappings>
  <intercept-url pattern="/url1**" access="ROLE_USER" requires-channel="https"/>
  <intercept-url pattern="/url2**" access="ROLE_TELLER" method="GET"/>
  <intercept-url pattern="/url3**" access="ROLE_SUPERVISOR" />      
</http>
    • Vielen Dank für die Mühe! Diese aussieht, wie die gleiche config, die ich habe. Der einzige glaube, ich kann herausfinden, ist, dass es einen neuen bug in der 3.0.0.M2, die nicht existieren in 2.0.4.
    • Als Sie sagte, dass es ein bug. Getestet habe ich es mit 3.0.0 M2. Auch fand ich, wo der Fehler ist, damit ich es gemeldet, um Ihre Jira: jira.springsource.org/browse/SEC-1236
    InformationsquelleAutor rodrigoap
Schreibe einen Kommentar