Wie unsecure /** URL-Muster in der Frühjahr-Sicherheit

Ich versuche, die unsichere /** pattern, aber alle meine versuche sind vergeblich so weit.

Dies ist, was ich Tue:

<security:intercept-url pattern="/**" filters="none" />

Meine Konfiguration nicht mehr enthält intercept-url Definitionen.

Jedoch nach jedem Zugriff auf eine URL bekomme ich noch umgeleitet, um die Standard-Einstiegspunkt...

Ich gedebuggt der spring security-Quelle und ich kann tatsächlich sehen, die die Filter geladen werden für die URL die ich versuche, auf. (FilterChainProxy Linie: 154, die filters Liste voll ist)

Keinen Einblick, warum dies geschieht und wie unsichere /** würde sehr geschätzt.

Ich bin mit 3.0.5.RELEASE


EDIT:

Security-Konfiguration:

 <security:http auto-config="false" use-expressions="true" entry-point-ref="loginUrlAuthenticationEntryPoint">
    <!-- dev --><security:intercept-url pattern="/**" filters="none" />

    <security:custom-filter position="FORM_LOGIN_FILTER" ref="absoluteUrlSsoFilter" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider user-service-ref="ssoDetailsService" />
</security:authentication-manager>

Dies ist der relevante Teil, ich könnte Ihnen auch die bean-Definitionen, aber ich bezweifle, dass das problem da ist.

  • können Sie nach dem vollständigen spring security-Konfiguration?
  • Wenn Sie nicht bereits getan haben, bitte setzen Sie den log-level auf DEBUG und überprüfen Sie die log-Ausgabe. Es sollte eine sehr klare Aussage, Wann und warum Sie umgeleitet werden, um die login-Seite. Bitte posten Sie wieder mit diesem zusätzlichen detail, und Sie sollten in der Lage sein, um einige aussagekräftige Antworten.
  • Ich habe, ja und der debug-log sagt etwas ähnliches wie "Kandidat ist: '/resource.html', pattern: '/**', abgestimmt: "true", nach der es druckt die filter-Kette, die wird ausführen. Ich poste den genauen log morgen, wie ich es nicht haben derzeit. Eigentlich das log sollte sagen "Kandidat ist: '/resource.html', pattern: '/**', abgestimmt: "true" und dann "/** hat einen leeren filter-Liste" ebenso wie für alle Muster, die von anderen als /**
  • Einfach nur neugierig, wenn Sie jemals bekam dies gelöst?
  • nun stellt sich heraus filters="none" auf /** funktioniert nicht auf 3.0 wird es möglich sein, in 3,1-weil mehrere <http> - Elemente. Hier ist mehr info forum.springsource.org/...**- - URL-Muster-mit-Filter-quot-keine-quot, und hier ist noch mehr jira.springsource.org/browse/SEC-1758, in jedem Fall, dass Sie brauchen nicht diese zu arbeiten, weil Sie verwenden können, IS_AUTHENTICATED_ANONYMOUSLY
InformationsquelleAutor Simeon | 2011-06-02
Schreibe einen Kommentar