我正在将一个应用程序从Spring Boot 2.7升级到Spring Boot 3,其中包括升级到Spring Security 6。
我们设置了以下属性:
spring.mvc.view.prefix=/WEB-INF/view/
spring.mvc.view.suffix=.jsp我们使用JSP作为模板语言,其中控制器返回视图文件名,例如
@RequestMapping("/")
public String home() {
return "home";
}这将呈现JSP页面/WEB-INF/view/home.jsp
安全配置例如:
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain config(HttpSecurity http) throws Exception {
http.authorizeHttpRequests((auth) -> auth
.requestMatchers("/").permitAll()
.anyRequest().authenticated()
);
}升级后,访问localhost/会将浏览器重定向到localhost/WEB-INF/view/home.jsp,这将返回403,因为不允许访问该页面。
如果我允许使用.requestMatchers("/", "/WEB-INF/**").permitAll()访问这个页面,它可以正常工作(即,停留在/上并呈现JSP页面),但这似乎是一个坏主意,也是一个不必要的步骤。
启用调试日志记录后,Spring会记录以下内容:
DEBUG [requestURL=/] o.s.security.web.FilterChainProxy : Securing GET /
DEBUG [requestURL=/] o.s.security.web.FilterChainProxy : Secured GET /
DEBUG [requestURL=/] o.s.security.web.FilterChainProxy : Securing GET /WEB-INF/view/home.jsp
DEBUG [requestURL=/] o.s.security.web.FilterChainProxy : Secured GET /WEB-INF/view/home.jsp我在Spring Security迁移指南中看不到任何关于这方面的内容,有人知道是怎么回事吗?
更新
我把它归纳成一个简单的例子:
pom.xml
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 https://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.0.0</version>
<relativePath/> <!-- lookup parent from repository -->
</parent>
<groupId>com.example</groupId>
<artifactId>jsptest</artifactId>
<version>0.0.1-SNAPSHOT</version>
<name>jsptest</name>
<packaging>war</packaging>
<description>Demo project for Spring Boot</description>
<properties>
<java.version>17</java.version>
</properties>
<dependencies>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-web</artifactId>
</dependency>
<dependency>
<groupId>org.apache.tomcat.embed</groupId>
<artifactId>tomcat-embed-jasper</artifactId>
</dependency>
</dependencies>
<build>
<finalName>app</finalName>
<plugins>
<plugin>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-maven-plugin</artifactId>
</plugin>
</plugins>
</build>
</project>Application.java
@SpringBootApplication
@Controller
public class Application {
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
@Bean
public SecurityFilterChain config(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((auth) -> auth
.requestMatchers("/", "/WEB-INF/view/**").permitAll()
.anyRequest().authenticated()
);
return http.build();
}
@RequestMapping("/")
public String home() {
return "home";
}
}源代码/主/资源/www.example.comapplication.properties:
spring.mvc.view.prefix=/WEB-INF/view/
spring.mvc.view.suffix=.jsp源文件/主文件/网络应用程序/网络信息文件/视图/home. jsp:
hello
1条答案
按热度按时间zz2j4svz1#
我之前也忽略了一件事。
在Spring Security 6中,转发和包含默认为安全过滤器的一部分。
请参见www.example.comhttps://docs.spring.io/spring-security/reference/5.8.0/migration/servlet/authorization.html#_permit_forward_when_using_spring_mvc
允许全局转发可以通过安全配置中的这一附加行来完成。