以前から Spring Security 2.x を使用していましたが、最近 3.x に切り替えました。私は常に、UserDetails
DB に対する独自のインターフェースと認証の実装を使用しています。
すべて正常に動作します (ログイン、ログアウト、URL フィルター、許可されたユーザーのユーザー名の表示など)。
あとは、ユーザーが認証されていない場合に「ログインしてください」というメッセージを表示するだけでした。私はいくつかのアプローチを試しました:
<sec:authorize access="not isAnonymous()">
or
<sec:authorize access="hasRole('ROLE_ANONYMOUS')">
etc.
それらのどれも機能しませんでした。最後に<sec:authentication property="principal.authorities" />
、ホームページの出力に追加して、ユーザーが実際に持っている役割をデバッグしました。これは私が見るものです:
- ログインしたユーザー -
[ROLE_USER, ROLE_ADMIN]
- 承認されていないユーザー - `` <- 空の文字列
ROLE_ANONYMOUS
私の記憶が正しければ、Spring によって常に追加されていたデフォルトの権限を何らかの形で失ったようです。それは最近落とされたものですか?おそらく、この匿名アクセスを別の方法で処理する必要がありますか?
セキュリティ コンテキストの関連部分:
<beans:beans
xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/beans
http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
http://www.springframework.org/schema/security
http://www.springframework.org/schema/security/spring-security-3.1.xsd">
<!-- UNPROTECTED RESOURCES -->
<http pattern="/" security="none"/>
<http pattern="/favicon.ico" security="none"/>
<http pattern="/home" security="none"/>
<http pattern="/login*" security="none"/>
<http pattern="/resources/**" security="none"/>
<!-- PROTECTED RESOURCES -->
<http auto-config='true' use-expressions="true">
<intercept-url pattern="/**" access="hasRole('ROLE_USER')"/>
<intercept-url pattern="/admin/**" access="hasRole('ROLE_USER,ROLE_ADMIN')"/>
<form-login login-page="/login" default-target-url="/dashboard" authentication-failure-url="/login?login_error=true"/>
<logout logout-url="/logout"/>
</http>
<beans:bean id="userAccountsAuthenticationProvider" class="pl.xxx.utils.UserAccountsAuthenticationProvider" />
<beans:bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
<beans:property name="userPropertyToUse" value="salt" />
</beans:bean>
<authentication-manager>
<authentication-provider user-service-ref="userAccountsAuthenticationProvider">
<password-encoder ref="standardPasswordEncoder"/>
</authentication-provider>
</authentication-manager>
</beans:beans>