1

現在、jsp ページを保護して表示できますが、REST エンドポイントが見つかりません (すべての残りの AJAX 呼び出しで 404)。残りのエンドポイントが見つかった場合、変更するために他のことを行いましたが、HTML が見つからず、セキュリティ チェックが実行されていません。

私は何が欠けていますか?

security.xml

<beans:beans xmlns="http://www.springframework.org/schema/security"
  xmlns:beans="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xsi:schemaLocation="http://www.springframework.org/schema/beans
           http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
           http://www.springframework.org/schema/security
           http://www.springframework.org/schema/security/spring-security-3.1.xsd">

    <http pattern="/images/**" security="none"/>
    <http pattern="/css/**" security="none"/>
    <http pattern="/js/**" security="none"/>
    <http auto-config="true" disable-url-rewriting="true">
         <intercept-url pattern="/login-page.html" access="ROLE_ANONYMOUS"/>
         <intercept-url pattern="/**" access="ROLE_USER, ROLE_ADMIN" />
        <form-login login-page='/login-page.html' default-target-url="/static-page.jsp" />
    </http>
    <authentication-manager>
        <authentication-provider>
            <jdbc-user-service data-source-ref="dataSource"
                users-by-username-query="select USERNAME, PASSWORD, ENABLED 
                    from USERS where USERNAME=?" 
                authorities-by-username-query="
                    select U.USERNAME, UR.AUTHORITY from USERS U, ROLES UR 
                    where U.USERNAME=UR.USERNAME and U.USERNAME=?"      
            />
        </authentication-provider>
    </authentication-manager>
</beans:beans>

web.xml

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.4" xmlns="http://java.sun.com/xml/ns/j2ee"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>classpath:server-context.xml, classpath:spring-security.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.util.Log4jConfigListener</listener-class>
    </listener>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>jersey-servlet</servlet-name>
        <servlet-class>
            com.sun.jersey.spi.spring.container.servlet.SpringServlet</servlet-class>
        <init-param>
            <param-name>com.sun.jersey.config.property.packages</param-name>
            <param-value>service.admin</param-value>
        </init-param>
        <init-param>
            <param-name>com.sun.jersey.api.json.POJOMappingFeature</param-name>
            <param-value>true</param-value>
        </init-param>
        <load-on-startup>1</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>jersey-servlet</servlet-name>
        <url-pattern>/test-app/*</url-pattern>
    </servlet-mapping>
    <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>

    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
    </filter-mapping>
</web-app>

webapp フォルダーの下には、js & css & images フォルダーと *.html および *.jsp ファイルがあり、WEB-INF の下には web.xml フォルダーがあります。他にhtmlファイルを配置する必要がある場所はありますか?それをweb.xmlにどのようにマップしますか?

4

1 に答える 1

3

HTML ファイルを保護するには、まずそれらを安全な場所に配置する必要があります。WEB-INF フォルダーは、アプリケーションにデプロイされた唯一のフォルダーであり、HTTP からアクセスすることはできません。したがって、そこにあるフォルダは、HTML ファイルを保持するのに適した場所です。/WEB-INF/html をお勧めします。

次に、*.html のすべてのリクエストを /WEB-INF/html フォルダーにマップするように Spring に指示する必要があります。これは、Spring servlet.xml ファイルの xml 要素内に配置する必要があります。

html-servlet.xml:

<mvc:resources mapping="/**" location="/WEB-INF/html/" />

詳細については、 MVC リソースを保護する方法を参照してください。

HTML ファイルごとに、security.xml ファイルにいくつかの http エントリを追加する必要があります。

<intercept-url pattern="/users-only.html" access="ROLE_USER" />

これは、Spring フィルターを使用してリソースをチェックし、ユーザーのロールに基づいてリダイレクトします。

最後に、*.html への要求を処理するサーブレットの web.xml にエントリが必要です。

web.xml:

<!--  Security -->
<servlet>
    <servlet-name>html</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/html-servlet.xml</param-value>
    </init-param>
</servlet>

<!--  Secure static HTML files. See applicationContext-Security.xml intercept-url for individual HTML file control over security.-->
<servlet-mapping>
    <servlet-name>html</servlet-name>
    <url-pattern>*.html</url-pattern>
</servlet-mapping>
于 2012-05-06T03:53:02.190 に答える