1

目前,它保护 jsp 页面并可以显示它们,但无法找到 REST 端点(所有其余 AJAX 调用为 404)。我已经做了其他事情来改变它,它找到了其余的端点,但是找不到 HTML 并且没有执行安全检查。

我错过了什么?

安全.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <http pattern="/images/**" security="none"/>
    <http pattern="/css/**" security="none"/>
    <http pattern="/js/**" security="none"/>
    <http auto-config="true" disable-url-rewriting="true">
         <intercept-url pattern="/login-page.html" access="ROLE_ANONYMOUS"/>
         <intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
        <form-login login-page='/login-page.html' default-target-url="/static-page.jsp" />
    </http>
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select USERNAME, PASSWORD, ENABLED 
                    from USERS where USERNAME=?" 
                authorities-by-username-query="
                    select U.USERNAME, UR.AUTHORITY from USERS U, ROLES UR 
                    where U.USERNAME=UR.USERNAME and U.USERNAME=?"      
            />
        </authentication-provider>
    </authentication-manager>
</beans:beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:server-context.xml, classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>jersey-servlet</servlet-name>
        <servlet-class>
            com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>service.admin</param-value>
        </init-param>
        <init-param>
            <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>jersey-servlet</servlet-name>
        <url-pattern>/test-app/*</url-pattern>
    </servlet-mapping>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

在 webapp 文件夹下,我有 js & css & images 文件夹以及 WEB-INF 下的 *.html 和 *.jsp 文件是 web.xml 文件夹所在的位置。是否还有其他地方我应该放置 html 文件以及如何将其映射到 web.xml 中。

4

1 回答 1

3

为了保护您的 HTML 文件,您首先需要将它们放在安全的位置。WEB-INF 文件夹是部署在您的应用程序中的唯一一个不能通过 HTTP 访问的文件夹;因此,文件夹是保存 HTML 文件的好地方。我推荐/WEB-INF/html。

接下来,您需要告诉 Spring 将对 *.html 的所有请求映射到 /WEB-INF/html 文件夹。这需要放在 Spring servlet.xml 文件中的 xml 元素中。

html-servlet.xml:

<mvc:resources mapping="/**" location="/WEB-INF/html/" />

有关更多信息,请参阅如何保护 MVC 资源

您需要在 security.xml 文件中为每个 HTML 文件添加一些 http 条目:

<intercept-url pattern="/users-only.html" access="ROLE_USER" />

这使用 Spring 过滤器来检查资源并根据用户的角色对其进行重定向。

最后,您需要 web.xml 中的条目来处理对 *.html 的请求的 servlet:

网页.xml:

<!--  Security -->
<servlet>
    <servlet-name>html</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/html-servlet.xml</param-value>
    </init-param>
</servlet>

<!--  Secure static HTML files. See applicationContext-Security.xml intercept-url for individual HTML file control over security.-->
<servlet-mapping>
    <servlet-name>html</servlet-name>
    <url-pattern>*.html</url-pattern>
</servlet-mapping>
于 2012-05-06T03:53:02.190 回答