Как обезопасить / ** шаблон URL в Spring-Security - PullRequest
Новая
       14

Как обезопасить / ** шаблон URL в Spring-Security

5 голосов
/ 02 июня 2011

Я пытаюсь защитить шаблон / **, но все мои попытки пока тщетны.

Вот что я делаю: 

<security:intercept-url pattern="/**" filters="none" />

Моя конфигурациябольше не содержит intercept-url определений.

Однако после доступа к любому URL-адресу я все еще перенаправлен на точку входа по умолчанию ...

Я отладил источник безопасности Spring и действительно могупосмотрите, какие фильтры загружаются для URL, к которому я пытаюсь получить доступ.(FilterChainProxy строка: 154, список filters заполнен)

Любое понимание того, почему это происходит и как обеспечить безопасность / **, было бы очень полезно.

Я использую3.0.5.RELEASE

РЕДАКТИРОВАТЬ:

Конфигурация безопасности: 

 <security:http auto-config="false" use-expressions="true" entry-point-ref="loginUrlAuthenticationEntryPoint">
    <!-- dev --><security:intercept-url pattern="/**" filters="none" />

    <security:custom-filter position="FORM_LOGIN_FILTER" ref="absoluteUrlSsoFilter" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider user-service-ref="ssoDetailsService" />
</security:authentication-manager>

Это важная часть, я также мог бы дать вам определения бинов, ноЯ сомневаюсь, что проблема есть.

Ответы [ 2 ]

2 голосов
/ 02 июня 2011

по крайней мере в граалях, вы можете установить настройку безопасности на IS_AUTHENTICATED_ANONYMOUSLY. Поскольку плагин Grails Spring Security основан на безопасности Spring, я уверен, что это сработает.

не нужно играть с фильтрами или чем-то еще.

0 голосов
/ 03 июня 2011

Зачем настраивать Spring Security, если вы хотите полностью отключиться?

Если вы хотите отключить его в режиме разработки, почему бы не поместить его в отдельный XML и не загружать этот единственный файл в режиме идентификатора разработчика и не комментировать springSecurityFilterChain в файле web.xml? (второй можно сделать с помощью обработки ресурсов Maven).

Или попробуйте ввести фиктивную запись перед совпадением /**: 

<security:intercept-url pattern="/dummy" access="IS_AUTHENTICATED_FULLY" />
<security:intercept-url pattern="/**" filters="none" />

Вы до сих пор не знаете, зачем вам нужно, чтобы система безопасности была полностью настроена и выключена одновременно?

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.

Нет похожих вопросов

...