目前它保护 jsp 页面并可以显示它们,但找不到 REST 端点(所有 REST AJAX 调用均为 404)。 我已经做了其他事情来更改它,因为它找到了其余的端点,但随后找不到 HTML 并且没有执行安全检查。
我错过了什么?
安全性.xml
<beans:beans xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">
<http pattern="/images/**" security="none"/>
<http pattern="/css/**" security="none"/>
<http pattern="/js/**" security="none"/>
<http auto-config="true" disable-url-rewriting="true">
<intercept-url pattern="/login-page.html" access="ROLE_ANONYMOUS"/>
<intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
<form-login login-page='/login-page.html' default-target-url="/static-page.jsp" />
</http>
<authentication-manager>
<authentication-provider>
<jdbc-user-service data-source-ref="dataSource"
users-by-username-query="select USERNAME, PASSWORD, ENABLED
from USERS where USERNAME=?"
authorities-by-username-query="
select U.USERNAME, UR.AUTHORITY from USERS U, ROLES UR
where U.USERNAME=UR.USERNAME and U.USERNAME=?"
/>
</authentication-provider>
</authentication-manager>
</beans:beans>
网络.xml
<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>classpath:server-context.xml, classpath:spring-security.xml</param-value>
</context-param>
<listener>
<listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
</listener>
<listener>
<listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>
<servlet>
<servlet-name>jersey-servlet</servlet-name>
<servlet-class>
com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
<init-param>
<param-name>com.sun.jersey.config.property.packages</param-name>
<param-value>service.admin</param-value>
</init-param>
<init-param>
<param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
<param-value>true</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
<servlet-name>jersey-servlet</servlet-name>
<url-pattern>/test-app/*</url-pattern>
</servlet-mapping>
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
在webapp文件夹下,我有js&css和images文件夹以及WEB-INF下的*.html和*.jsp文件是web.xml文件夹所在的位置。 我应该把html文件放在别的地方吗,我将如何在网络上映射它.xml。
为了保护您的 HTML 文件,您首先需要将它们放置在安全的位置。WEB-INF 文件夹是应用程序中部署的唯一无法通过 HTTP 访问的文件夹;因此,文件夹是保存HTML文件的好地方。我推荐/WEB-INF/html。
接下来,你需要告诉 Spring 将所有 *.html 的请求映射到/WEB-INF/html 文件夹。这需要放在Spring servlet.xml文件中的xml元素中。
html-servlet.xml:
<mvc:resources mapping="/**" location="/WEB-INF/html/" />
有关详细信息,请参阅如何保护 MVC 资源。
您需要在每个 HTML 文件的安全.xml文件中添加一些 http 条目:
<intercept-url pattern="/users-only.html" access="ROLE_USER" />
这将使用 Spring 过滤器来检查资源并根据用户的角色重定向它。
最后,你需要在 web.xml 中为处理 *.html 请求的 servlet 提供一个条目:
网站.xml:
<!-- Security -->
<servlet>
<servlet-name>html</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/html-servlet.xml</param-value>
</init-param>
</servlet>
<!-- Secure static HTML files. See applicationContext-Security.xml intercept-url for individual HTML file control over security.-->
<servlet-mapping>
<servlet-name>html</servlet-name>
<url-pattern>*.html</url-pattern>
</servlet-mapping>