Wie unsecure /** URL-Muster in der Frühjahr-Sicherheit
Ich versuche, die unsichere /** pattern, aber alle meine versuche sind vergeblich so weit.
Dies ist, was ich Tue:
<security:intercept-url pattern="/**" filters="none" />
Meine Konfiguration nicht mehr enthält intercept-url
Definitionen.
Jedoch nach jedem Zugriff auf eine URL bekomme ich noch umgeleitet, um die Standard-Einstiegspunkt...
Ich gedebuggt der spring security-Quelle und ich kann tatsächlich sehen, die die Filter geladen werden für die URL die ich versuche, auf. (FilterChainProxy
Linie: 154, die filters
Liste voll ist)
Keinen Einblick, warum dies geschieht und wie unsichere /** würde sehr geschätzt.
Ich bin mit 3.0.5.RELEASE
EDIT:
Security-Konfiguration:
<security:http auto-config="false" use-expressions="true" entry-point-ref="loginUrlAuthenticationEntryPoint">
<!-- dev --><security:intercept-url pattern="/**" filters="none" />
<security:custom-filter position="FORM_LOGIN_FILTER" ref="absoluteUrlSsoFilter" />
</security:http>
<security:authentication-manager>
<security:authentication-provider user-service-ref="ssoDetailsService" />
</security:authentication-manager>
Dies ist der relevante Teil, ich könnte Ihnen auch die bean-Definitionen, aber ich bezweifle, dass das problem da ist.
- können Sie nach dem vollständigen spring security-Konfiguration?
- Wenn Sie nicht bereits getan haben, bitte setzen Sie den log-level auf DEBUG und überprüfen Sie die log-Ausgabe. Es sollte eine sehr klare Aussage, Wann und warum Sie umgeleitet werden, um die login-Seite. Bitte posten Sie wieder mit diesem zusätzlichen detail, und Sie sollten in der Lage sein, um einige aussagekräftige Antworten.
- Ich habe, ja und der debug-log sagt etwas ähnliches wie "Kandidat ist: '/resource.html', pattern: '/**', abgestimmt: "true", nach der es druckt die filter-Kette, die wird ausführen. Ich poste den genauen log morgen, wie ich es nicht haben derzeit. Eigentlich das log sollte sagen "Kandidat ist: '/resource.html', pattern: '/**', abgestimmt: "true" und dann "/** hat einen leeren filter-Liste" ebenso wie für alle Muster, die von anderen als /**
- Einfach nur neugierig, wenn Sie jemals bekam dies gelöst?
- nun stellt sich heraus
filters="none"
auf /** funktioniert nicht auf 3.0 wird es möglich sein, in 3,1-weil mehrere <http> - Elemente. Hier ist mehr info forum.springsource.org/...**- - URL-Muster-mit-Filter-quot-keine-quot, und hier ist noch mehr jira.springsource.org/browse/SEC-1758, in jedem Fall, dass Sie brauchen nicht diese zu arbeiten, weil Sie verwenden können, IS_AUTHENTICATED_ANONYMOUSLY
Du musst angemeldet sein, um einen Kommentar abzugeben.
zumindest in grails, Sie können die Sicherheitseinstellung an IS_AUTHENTICATED_ANONYMOUSLY. Da die grails spring security plugin basiert auf spring security, ich Wette, das würde funktionieren.
nicht brauchen, um zu spielen mit Filter oder so etwas.
Warum konfigurieren, Spring Security, wenn Sie möchten, um wiederum aus completelly in den ersten Platz?
Wenn Sie wan es ab in dev Modus, warum Sie es nicht in separaten XML-und nicht laden Sie diese einzelne Datei als id-dev Modus und der Kommentar des
springSecurityFilterChain
im web.xml? (die zweite, die Sie tun können mit Maven resource processing).Oder versuchen Sie einen dummy-Eintrag vor der
/**
matcher:Immer noch nicht wirklich den Grund, warum würden Sie brauchen die Sicherheit, vollständig konfiguriert und wandte sich in der gleichen Zeit ab?