0

Spring Security 3.1を読み始めたばかりですが、システム上のページにアクセスする前に、ログインページを介してユーザーに認証を強制する方法を知りたいです。チュートリアルでは、次のコードが表示されます

<http use-e xpressions="true">
    <intercept-url pattern="/index.jsp" access="permitAll" />
    <intercept-url pattern="/secure/extreme/**" access="hasRole('supervisor')" />
    <intercept-url pattern="/secure/**" access="isAuthenticated()" />
    <intercept-url pattern="/listAccounts.html" access="isAuthenticated()" />
    <intercept-url pattern="/post.html" access="hasAnyRole('supervisor','teller')" />
    <intercept-url pattern="/**" access="denyAll" />
    <form-login />
</http>

上記の構成から、URLパターンのリストを維持する必要があることがわかります。これを単純化して、すべてのユーザーが他のページにアクセスする前に「/ login」からログインする必要があるという方法はありますか?

編集:

以下のように構成を編集し、期待どおりに機能しています

<http auto-config="true" use-expressions="true">
    <intercept-url pattern="/login" access="permitAll" />
    <intercept-url pattern="/loginfailed" access="permitAll" />
    <intercept-url pattern="/logout" access="permitAll" />
    <form-login login-page="/login" default-target-url="/welcome"
        authentication-failure-url="/loginfailed" />
    <logout logout-success-url="/login" />
    <intercept-url pattern="/**" access="isAuthenticated()" />
</http>
4

1 に答える 1

3

URLルールは、上から下に順番に検査されます。最初に一致するものが使用されます。

この例では、最後の行

<intercept-url pattern="/**" access="denyAll" />

「すべてをキャッチ」ルールです。上記のどのルールにも一致しなかったすべてのリクエスト( "/ **")に適用されます。

現在の形式では、関係なく、すべてのユーザーへのアクセスを拒否します。に変更した場合

<intercept-url pattern="/**" access="isAuthenticated()" />

代わりに、特に指定されていない限り、すべてのページへの認証が必要になります。これにより、SpringSecurityは認証されていないユーザーをログインプロセスにリダイレクトします。

于 2012-10-15T15:07:04.617 に答える