3

タイトルがわかりにくかったらすいません。詳細はこちら。

バックグラウンド

Spring 3.1.1 と Spring security 3.1.0 を使用する Spring ベースのアプリケーションに取り組んでいます。記述子の関連するフラグメントは次のとおりです。

<security:http auto-config='true'>      
    <security:intercept-url pattern="/login.jsp*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <security:intercept-url pattern="/login*" access="IS_AUTHENTICATED_ANONYMOUSLY" />
    <security:intercept-url pattern="/**" access="ROLE_USER" />     
    <security:form-login login-page='/login' authentication-failure-url="/login?authfailed=true"/>              
</security:http>

Web ページの「サインアウト」リンクは、 のような URL を指しますROOT-URL/j_spring_security_logout。したがって、この URL をクリックすると、ログイン ページ ( login.jsp) が表示され、正常に再ログインできます。

問題

ユーザーがアプリケーションにログインすると、セッションが期限切れになるまで待ってからサインアウトしようとすると、ログイン ページが表示されます。これで問題ありません。次に、正しい資格情報を入力し、ログイン ボタンをクリックします。現在、彼は、アプリケーションに入る代わりに、ユーザー名とパスワードのフィールドが空の同じログイン ページにリダイレクトされます。ログインの 2 回目の試行は成功します。

重要:これは、ユーザーが以前にログインしていて、セッションの有効期限が切れていて、ログアウトしようとした場合にのみ発生します。たとえば、セッションの有効期限が切れた後にユーザーが他のリンクをクリックした場合は発生しません。この場合、彼はログイン ページにリダイレクトされ、最初の試行から正常にログインできます。

分析

私の調査では、次のことがわかりました。SavedRequestAwareAuthenticationSuccessHandler.onAuthenticationSuccess()ログインページへのリクエストが含まれているために発生したHTTPリダイレクトにより、ログインページに2回到着しrequestCacheます。セッション属性に「キャッシュされた」リクエストを格納requestCacheするタイプの変数です。HttpSessionRequestCache"SPRING_SECURITY_SAVED_REQUEST"

通常、このキャッシュは、認証されていないユーザーが認証後にリクエストしたページにリダイレクトするために使用されます。

しかし、これが私たちの場合に起こることです。ユーザーがログインします。その後、彼のセッションは期限切れになります。次に、リンクをクリックしてログアウトします。セッションの有効期限が切れているため、ユーザーは「j_spring_security_logout」にリダイレクトされ、ログイン ページにリダイレクトされます。

この方法のどこかで、ログイン URL が「要求済み」としてキャッシュされるため、ユーザーがログインすると、要求された URL、つまりログイン ページにリダイレクトされます。リダイレクトが発生すると、キャッシュされた URL が削除されるため、無限ループは発生しません。2 回目のログイン試行は成功します。

関連するコードリファレンスは次のとおりです。

ExceptionTranslationFilter.handleSpringSecurityException() コールsendStartAuthentication()(168 行目)

これは次のことを行います (183 ~ 184 行目):

    SecurityContextHolder.getContext().setAuthentication(null);
    requestCache.saveRequest(request, response);

ただし、この時点で要求された URL はログイン ページです。そのため、ログイン ページはキャッシュされます。

この時点で just を呼び出すべきではないようsaveRequest()です。たとえば、これはSpringフレームワークのバグのようです...

この問題の解決策があり、ここに投稿します。しかし、私の解決策は私にとってはパッチのように見えるので、誰かが「正しい」解決策を知っていることを願っています.

前もって感謝します。

4

3 に答える 3

1 
<intercept-url pattern="/login.jsp*" access="permitAll" />
<intercept-url pattern="/login*" access="permitAll" />

ログインページ自体に制約を設ける理由はありません。

于 2012-05-03T13:25:01.507 に答える
1

これを試してください、それは私のために働きます:

<security:form-login 
        login-page="/login.jsp" 
        default-target-url="/home.jsp"
        always-use-default-target="true" 
        authentication-failure-url="/login?authfailed=true"/>
于 2012-05-03T13:41:27.320 に答える
0

交換:

.defaultSuccessUrl("/paginas/geral/index.jsf")

に:

.defaultSuccessUrl("/paginas/geral/index.jsf", true)

http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login.jsf") .permitAll() .usernameParameter("login") .passwordParameter("senha") . defaultSuccessUrl("/paginas/geral/index.jsf", true) .failureUrl("/login.jsf?invalid=true");

わたしにはできる。(スプリングセキュリティウェブ: 4.1.3.RELEASE)

于 2016-10-26T02:31:26.413 に答える