7

我使用 spring-security 来保护我的 web,当我通过 spring-roo 在 applicationContext-security.xml 中生成的配置文件学习它时,在<http>节点中:

 <intercept-url pattern="/userses?form" access="hasRole('ROLE_ADMIN')" />

这意味着当您要创建用户对象时,首先您需要登录以获得管理员权限。但实际上并没有奏效。检查日志:

2012-05-06 11:39:11,250 [http-8088-7] DEBUG org.springframework.security.web.util.AntPathRequestMatcher - Checking match of request : '/userses'; against '/userses?form'

框架使用 /userses 而不是 /userses?form 进行比较,由于字符串不匹配而跳过身份验证过程。为了验证这一点,我还尝试了另一个网址:

<intercept-url pattern="/userses/abc" access="hasRole('ROLE_ADMIN')" />

我请求 /userses/abc,它检测到用户未授权,并移至 /login 页面,检查日志:

2012-05-06 11:46:44,343 [http-8088-7] DEBUG org.springframework.security.web.util.AntPathRequestMatcher - Checking match of request : '/uesrses/abc'; against '/userses/abc'

所以我的问题是:spring-secure 3不支持“?参数”模式还是我错过了一些配置来支持这个?PS:所有代码都是roo生成的,没有修改,也想知道为什么不起作用。

4

2 回答 2

8

默认情况下, spring security使用 ant 样式匹配,无法匹配参数。然而,正则表达式匹配可以匹配参数

尝试像这样定义它:

<http request-matcher="regex">
  <security:intercept-url pattern="\A/userses\?form.*\Z" access="hasRole('ROLE_ADMIN')" />
</http>

不知道为什么 Roo 不自动执行此操作。似乎应该如此。

于 2012-05-06T04:36:06.850 回答
6

该行为由正在使用的“请求匹配器”定义。如文档所示,默认值为“ant”,表示使用AntPathRequestMatcher,另一种选择是“regex”,即RegexRequestMatcher。javadocs(链接的)给出了关于匹配器的细节,包括前者与请求的“servletPath + pathInfo”匹配,后者与其“servletPath + pathInfo + queryString”匹配。

于 2012-05-06T04:41:39.357 回答