Spring阻止用户通过浏览器和ajax访问url答案

【问题标题】：Spring prevent user from accessing url through browser and ajaxSpring阻止用户通过浏览器和ajax访问url
【发布时间】：2012-12-23 11:37:10
【问题描述】：

我在使用 Springs 安全配置时遇到问题。我在下面分享我的代码。

我的问题是我希望 /user* url 和 /admin* url 只有在用户登录到我的应用程序时才能访问，我的应用程序有主要的 ajax 调用，所以我希望没有用户可以访问 /user* URL登录。但是当我尝试在网络浏览器中输入 URL 时，我什至没有重定向到登录页面，而是进入了输入 URL 的页面。

那么谁能帮我解决这个问题。

spring-security.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <beans:beans xmlns="http://www.springframework.org/schema/security"
     xmlns:beans="http://www.springframework.org/schema/beans"
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
     xsi:schemaLocation="http://www.springframework.org/schema/beans 
     http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
     http://www.springframework.org/schema/security
     http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<http auto-config="true">
    <intercept-url pattern="/user**" access="ROLE_USER" />
    <form-login login-page="/login" default-target-url="/user/home"
        authentication-failure-url="/loginfailed" />
    <logout invalidate-session="true" logout-success-url="/logout" />
</http>

<authentication-manager>
    <authentication-provider>
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query="select USERNAME, PASSWORD from USER where USERNAME = ?"
            authorities-by-username-query="ROLE_USER"
        />
    </authentication-provider>
</authentication-manager>

web.xml

    <?xml version="1.0" encoding="utf-8" standalone="no"?><web-app 
      xmlns="http://java.sun.com/xml/ns/javaee"
      xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5"
      xsi:schemaLocation="http://java.sun.com/xml/ns/javaee
      http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

<servlet>
    <servlet-name>Admin</servlet-name>
    <servlet-class>
        org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>Admin</servlet-name>
    <url-pattern>/admin*</url-pattern>
</servlet-mapping>

<servlet>
    <servlet-name>User</servlet-name>
    <servlet-class>
        org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>User</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<listener>
    <listener-class>
              org.springframework.web.context.ContextLoaderListener
    </listener-class>
</listener>

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        /WEB-INF/User-servlet.xml,
        /WEB-INF/Spring-Datasource.xml,
        /WEB-INF/spring-security.xml
    </param-value>
</context-param>

<!-- Spring Security -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>
              org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<welcome-file-list>
    <welcome-file>index</welcome-file>
</welcome-file-list>
    <servlet>
          <servlet-name>SystemServiceServlet</servlet-name>
          <servlet-class>com.google.api.server.spi.SystemServiceServlet</servlet-class>
    <init-param>
        <param-name>services</param-name>
        <param-value/>
    </init-param>
</servlet>
<servlet-mapping>
    <servlet-name>SystemServiceServlet</servlet-name>
    <url-pattern>/_ah/spi/*</url-pattern>
</servlet-mapping>
    </web-app>

ControllerServlet.java

    @Controller
    public class UserController {
    @RequestMapping(value = "/login", method = RequestMethod.GET)
    public String getUserLoginPage(){
        return "user/index";
    }

    @RequestMapping(value = "/loginfailed", method = RequestMethod.GET)
    public String showErrorLoginPage(ModelMap modelMap){
        modelMap.addAttribute("message", "Invalid Login Credentials");
        return "user/index";
    }

    @RequestMapping(value = "/user/home", method = RequestMethod.GET)
    public String getUserHomePage(ModelMap modelMap, Principal principal){
       //String name = principal.getName();
       //modelMap.addAttribute("name", name);
       return "user/home";  
    }

    @RequestMapping(value = "/logout", method = RequestMethod.GET)
    public String showLogoutPage(ModelMap modelMap){
       return "user/index";
    }
    }

数据库设计/代码：

    create table USER(ID BIGINT NOT NULL AUTO_INCREMENT, USERNAME varchar(20) NOT NULL UNIQUE, PASSWORD varchar(20) NOT NULL, FIRSTNAME varchar(25) NOT NULL, LASTNAME varchar(25) NOT NULL, UPDATED_ON varchar(25) NOT NULL, PRIMARY KEY (ID));

登录表单代码：

    <form class="form-horizontal" method="POST"
                action="<c:url value='/j_spring_security_check' />" id="loginForm">
                <div class="span4"></div>
                <div class="span5" style="background-color: #FBFBFC; border: solid 1px #CCC;padding: 30px 5px 30px 5px;">
                <div class="span1"></div>
                <fieldset>                      
                    <legend>Login Here</legend>
                    <div class="control-group">
                        <label for="username">Username</label>
                        <input type="text" name="j_username" id="username"
                                placeholder="Username"
                                title="Please enter your username" data-placement="right" />
                        <div class="clear"></div>
                        <span id="errorSpan"></span>
                    </div>

                    <div class="control-group">
                        <label for="password">Password</label>
                        <input type="password" name="j_password" id="password"
                                placeholder="Password" title="Please enter your password"
                                data-placement="right" />
                        <div class="clear"></div>
                        <span id="errorSpan"></span>
                    </div>


                    <div class="control-group">
                        <label>&nbsp;</label>
                            <input type="submit" class="btn btn-primary" value="Sign In" />
                    </div>
                    <div class="span1"></div>
                </fieldset>
                </div>
                <div class="span3"></div>
            </form>

【问题讨论】：

标签： java spring spring-mvc spring-security

【解决方案1】：

有两个问题：

首先，您必须更正地址模式：例如user/**

其次，如果您对受保护的资源进行了安静的调用，则很可能会发生这种情况。
检查萤火虫。您将看到 302 redirect 作为对您请求的响应。在这种情况下，您最好不要使用重定向，而是提供 403 access denied 响应并在您的 ajax 框架中手动处理它。

【讨论】：

先生，感谢您的回复，您能否再帮我解决一个案例，说明为什么即使我输入了正确的登录凭据，我也会在登录时获得相同的登录页面。
你检查过你的database.USER 表了吗？你的密码正确吗？是加密的吗？登录失败是由这些情况之一引起的。
不，先生，我的密码没有加密。是否需要加密。我正在输入正确的密码和用户名。
不需要对您的密码进行加密，但建议这样做。单独检查您的查询。是否正确加载？
我无法登录，因为我的 USER 表中没有 ENABLED 字段，而且我也没有创建 ROLES 表。但我不明白为什么需要启用字段以及为什么我们需要在 Springs Security 中创建一个单独的角色表。

【解决方案2】：

你的模式是错误的

pattern="/user/**"

应该是对的。
为了更好地理解图案中的星星：

xx/** 表示xx 下的完整树结构是安全。
xx/* 表示只有xx 中的数据是安全的。
xx/*.rar 在这种情况下 * 是文件的通配符，因此所有 .rar 文件是安全的。

希望这会有所帮助。

【讨论】：

你说得对，这工作正常，但问题是即使我输入了正确的用户名和密码，它也不允许我访问该页面。
我不知道 ajax 的东西，因为我一直使用 ZK-Framework 进行 ajax 登录，我不知道它在纯 Spring 中是否相同。现在我没有看到名称/密码问题。登录页面和数据库连接的邮政编码将是最好的。

【解决方案3】：

您还应该为 authorities-by-username-query 指定一个查询，就像您为 用户按用户名查询

<jdbc-user-service data-source-ref="dataSource"
     users-by-username-query="select USERNAME, PASSWORD from USER where USERNAME = ?"
     authorities-by-username-query="ROLE_USER"
/>

例如

authorities-by-username-query="select u.username, ur.authority from user u, user_roles ur 
              where u.user_id = ur.user_id and u.username =?"

还可以考虑在您的配置中添加password-encoder，这样您的数据库中就没有纯文本密码

【讨论】：

谢谢，我同意，没看到。
先生，但我的数据库中还没有任何角色表。真的有必要在数据库中拥有角色吗？