4

SpringsSecurityを使用して2つのURLを保護するのに問題があります。/ admin/**と/user/**を保護したい。主な問題は、ADMINをADMIN&ADMIN_ROLESとして、USERをUSER&USER_ROLESとして別々のテーブルがあることです。また、管理者とユーザー用に別々のログインページもあります。以下のコードを共有しています。この問題について私を助けてください。

私が必要としているのは、/ admin URLにアクセスすると、管理者ログインページが表示されて/ admin / embassyにリダイレクトされ、開いている/ URLがユーザーログインページに移動すると、ログインが成功すると/ user/embassyにリダイレクトされます。 。

spring-security.xml

    <?xml version="1.0" encoding="UTF-8"?>
    <beans:beans xmlns="http://www.springframework.org/schema/security"
    xmlns:beans="http://www.springframework.org/schema/beans" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xsi:schemaLocation="http://www.springframework.org/schema/beans 
    http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
    http://www.springframework.org/schema/security 
    http://www.springframework.org/schema/security/spring-security-3.1.xsd">

<http auto-config="true">
    <intercept-url pattern="/user/**" access="ROLE_USER" />
    <form-login login-page="/" default-target-url="/user/embassy"
        authentication-failure-url="/loginfailed" />
    <logout invalidate-session="true" logout-success-url="/logout" />
</http>

<authentication-manager>
    <authentication-provider>
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query="select USERNAME, PASSWORD, ENABLED from USER where USERNAME = ?"
            authorities-by-username-query="select u.USERNAME, ur.AUTHORITY from USER u, USER_ROLES ur where u.ID = ur.USER_ID and u.USERNAME =?"
        />
    </authentication-provider>
</authentication-manager>

<http auto-config="true">
    <intercept-url pattern="/admin/**" access="ROLE_ADMIN" />
    <form-login login-page="/admin" default-target-url="/admin/embassy"
        authentication-failure-url="/adminloginfailed" />
    <logout invalidate-session="true" logout-success-url="/adminlogout" />
</http>

<authentication-manager>
    <authentication-provider>
        <jdbc-user-service data-source-ref="dataSource"
            users-by-username-query="select USERNAME, PASSWORD, ENABLED from ADMIN where USERNAME = ?"
            authorities-by-username-query="select a.USERNAME, ar.AUTHORITY from ADMIN a, ADMIN_ROLES ar where a.ID = ar.USER_ID and a.USERNAME =?"
        />
    </authentication-provider>
</authentication-manager>

web.xml

    <?xml version="1.0" encoding="utf-8" standalone="no"?><web-app 
      xmlns="http://java.sun.com/xml/ns/javaee"
      xmlns:web="http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd"
      xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" version="2.5" 
      xsi:schemaLocation="http://java.sun.com/xml/ns/javaee  
      http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">

<servlet>
    <servlet-name>Admin</servlet-name>
    <servlet-class>
        org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>Admin</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<servlet>
    <servlet-name>User</servlet-name>
    <servlet-class>
        org.springframework.web.servlet.DispatcherServlet
    </servlet-class>
    <load-on-startup>1</load-on-startup>
</servlet>
<servlet-mapping>
    <servlet-name>User</servlet-name>
    <url-pattern>/</url-pattern>
</servlet-mapping>

<listener>
    <listener-class>
              org.springframework.web.context.ContextLoaderListener
    </listener-class>
</listener>

<context-param>
    <param-name>contextConfigLocation</param-name>
    <param-value>
        /WEB-INF/User-servlet.xml,
                    /WEB-INF/Admin-servlet.xml,
        /WEB-INF/Spring-Datasource.xml,
        /WEB-INF/spring-security.xml
    </param-value>
</context-param>

<!-- Spring Security -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>
              org.springframework.web.filter.DelegatingFilterProxy
    </filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

<welcome-file-list>
    <welcome-file>index</welcome-file>
</welcome-file-list>
<servlet>
    <servlet-name>SystemServiceServlet</servlet-name>
    <servlet-class>com.google.api.server.spi.SystemServiceServlet</servlet-class>
    <init-param>
        <param-name>services</param-name>
        <param-value/>
    </init-param>
</servlet>
<servlet-mapping>
    <servlet-name>SystemServiceServlet</servlet-name>
    <url-pattern>/_ah/spi/*</url-pattern>
</servlet-mapping>

4

2 に答える 2

3

非常にカスタマイズされた認証スキームを取得しようとしています。それが機能するには、多くの http名前空間機能をバイパスする必要があります。必要なもの:

  • AuthenticationEntryPoint各ログイン ページに 1 つずつ、2 つのインスタンス
  • ユーザーがログインしているログイン ページが ADMIN ページか USER ページかを判断できるコンテキストをインスタンスに保存するために、 にAuthenticationDetailsSource注入されたカスタム。UsernamePasswordAuthenticationFilterAuthentication
  • AuthenticationManagerを使用してそのコンテキストを取得しAuthentication.getDetails()、ADMIN アクセスまたは USER アクセスの認証を決定するカスタマイズされたインスタンス。
  • 2 つDaoAuthenticationProvidersの 。それぞれに がありJdbcDaoImpl、1 つは ADMIN テーブルのクエリを定義し、もう 1 つは USER テーブルのクエリを定義します。

ご覧のとおり、これにはいくつかの作業が必要です。可能であれば、ユーザー用に統一されたテーブル構造と、統一されたログイン ページを使用することを強くお勧めします。これにより、非常に標準的な Spring Security 構成が得られます。次に、その構成を少しカスタマイズして、ログインが成功した場合にユーザーの役割に基づいて動的にリダイレクトすることができます。

于 2012-12-26T08:08:26.100 に答える