java - Spring Security、尾部斜杠和 URL 中的点-6ren

java - Spring Security、尾部斜杠和 URL 中的点

转载作者：IT老高更新时间：2023-10-28 13:52:50

28

4

我使用 Spring Security 3.1.4 来保护部署到 Tomcat 的 Spring MVC 3.2.4 应用程序。我有以下 Spring Security 配置:

<http auto-config="true" use-expressions="true">
   <http-basic />
   <logout ... />
   <form-login ... />

   <intercept-url pattern="/" access="isAnonymous() or hasRole('ROLE_USER')" />
   <intercept-url pattern="/about" access="isAnonymous() or hasRole('ROLE_USER')" />
   <intercept-url pattern="/login" access="isAnonymous() or hasRole('ROLE_USER')" />
   <intercept-url pattern="/under-construction" access="isAnonymous() or hasRole('ROLE_USER')" />
   <intercept-url pattern="/admin-task*" access="hasRole('ROLE_USER') and hasRole('ROLE_ADMINISTRATOR')" />
   <intercept-url pattern="/resources/**" access="isAnonymous() or hasRole('ROLE_USER')" />
   <intercept-url pattern="/**" access="hasRole('ROLE_USER')" />
</http>

我注意到不带斜杠的 URL 模式(例如，/about)与带有斜杠的 URL(例如，/about/)不匹配，反之亦然反之亦然。换句话说，带有斜线的 URL 和不带斜线的相同 URL 被 Spring Security 视为两个不同的 URL。该问题可以通过使用两个安全规则来解决:

<intercept-url pattern="/about" access="isAnonymous() or hasRole('ROLE_USER')" />
<intercept-url pattern="/about/" access="isAnonymous() or hasRole('ROLE_USER')" />

有没有更好的解决方案？

我知道 path-type="regex" 允许使用正则表达式定义 URL 模式，但如果可能的话，我想避免任何不必要的复杂性。

更新

正如 Adam Gent 所指出的，还有一个涉及带有点的 URL 的额外问题:Spring MVC 将 /about.foo 和 /about 视为相同的 URL .但是，Spring Security 将它们视为两个不同的 URL。因此，可能还需要一条安全规则:

<intercept-url pattern="/about.*" .../>

最佳答案

Spring 安全 4.1+

Spring Security 现在添加了一个新的匹配器，它知道你的 Spring MVC URL 匹配配置。这告诉 Spring Security 根据 Spring MVC 使用的相同规则匹配路径，从而消除 URL 有效但不安全的可能性。

首先，您需要用新的 MVC 匹配器替换任何旧的匹配器。 Spring Security 现在与您已配置 Spring MVC 同步，因此您可以自由添加或删除任何路径匹配配置。我建议尽可能使用默认值。

Java 配置

如果您使用的是 antMatchers，您现在应该使用 mvcMatchers:

protected configure(HttpSecurity http) throws Exception {
  http.authorizeRequests()
        .mvcMatchers("/about").hasRole("USER");
}

XML 配置

您需要将属性 request-matcher 添加到您的 http 标签:

<http request-matcher="mvc">
  <intercept-url pattern="/about" access="hasRole('USER')"/>
</http>

Full Reference

请注意，您也不应该再为您的角色添加前缀“ROLE_”，因为 Spring Security 会自动为您执行此操作。

Spring Security 4.1 之前的版本

我无法找到一种方法来处理 Spring Security 中的斜杠和路径后缀。显然可以编写一个正则表达式来处理这些情况，但这似乎使安全规则过于复杂并且容易出错。我希望尽可能自信地不会意外暴露资源。

因此，我的方法是在 Spring 中通过将路径匹配器配置为对尾部斜杠和后缀都严格来禁用此行为。

Java 配置

@Configuration
public class ServletConfig extends WebMvcConfigurerAdapter {
  @Override
  public void configurePathMatch(final PathMatchConfigurer configurer) {
    configurer.setUseSuffixPatternMatch(false);
    configurer.setUseTrailingSlashMatch(false);
  }
}

XML 配置

<mvc:annotation-driven>
  <mvc:path-matching suffix-pattern="false" trailing-slash="false" />
</mvc:annotation-driven>

关于java - Spring Security、尾部斜杠和 URL 中的点，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/20590794/

28

4

0

文章推荐： java - 使用复合主键和注释 : 映射多对多

文章推荐： java - spring aop如何改变返回值

文章推荐： FileWriter和BufferedWriter之间的Java区别

文章推荐： java - 如何在 Spring JPA 中注入(inject) CrudRepository？

r - 返回的最大和最小日期不同于排序列表的头部、尾部
我发现了一些令人费解的行为。给定一个包含 50 个日期的列表: structure(c("15513", "12830", "16503", "-3628", "15833", "13553", "4
c# - 如何获取列表中的最后一个元素(尾部)？
我正在尝试创建单链表，但我不知道我做错了什么。在插入元素 5、6、7、2、3、4 后，尾部应该是 4，但我得到的是 3，我不明白为什么。这是我的代码: public void Insert(int
c - 意外的访问冲突读取(尾部)
这是我的尾部代码(前 10 行): #include #include #include typedef char storage_datatype; #define MAXLINESIZE 1
windows - Windows 尾部
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。要求我们推荐或查找工具、库或最喜欢的场外资源的问题对于 Stack Overflow 来说是偏离主题的，
java - 从列表中删除范围(尾部)
是否有一种有效的方法可以从 List 中删除 X 元素的范围(例如尾部)，例如LinkedList 在 Java 中？显然可以一个一个地删除最后一个元素，这应该会导致 O(X) 级别的性能。至少对于
删除PHP数组中头部、尾部、任意元素的实现代码
在之前的一篇文章我们介绍了《如何向php数组中头部和尾部添加元素》既然有添加元素，那么就有删除元素，今天这篇文章详细介绍如何删除数组中的头部元素和尾部元素，还有任意数组元素。删除末尾元素：arr
c - 双向链表 - 合并排序后更新列表->尾部
在双向链表的实现中，我使用了典型的结构: struct node { void *data; struct node *prev; struct node *next; };
c# - 尾部。 ILAsm中的前缀–使用示例吗？
ECMA-335，III.2.4指定可以在递归函数中使用的tail.前缀。但是，我在C＃和F＃代码中都找不到它的用法。有使用in的示例吗？最佳答案您不会在当前的MS C＃编译器生成的任何代码中找到
以相反顺序显示行的 Windows 日志文件查看器(尾部)
关闭。这个问题不符合Stack Overflow guidelines .它目前不接受答案。我们不允许提问寻求书籍、工具、软件库等的推荐。您可以编辑问题，以便用事实和引用来回答。关闭 7 年前。
linux - 尾部-f + grep？
这个问题在这里已经有了答案: How to 'grep' a continuous stream? (13 个答案) 关闭 8 年前。 Tail 有以下选项: -f The -f opti
bash - 根据 Bash 中的特定字符修剪字符串(尾部)
我试图弄清楚一旦我击中某个字符，如何从尾部修剪 Bash 中的字符串。示例:如果我的字符串是这个(或任何链接):https://www.cnpp.usda.gov/Innovations/DataS
bash - 根据 Bash 中的特定字符修剪字符串(尾部)
我试图弄清楚一旦我击中某个字符，如何从尾部修剪 Bash 中的字符串。示例:如果我的字符串是这个(或任何链接):https://www.cnpp.usda.gov/Innovations/DataS
shell - 尾部 | grep -q 总是返回真
当我执行这段代码时，循环总是在第一次结束(即使 auth.log 的最后两行不包含“exit”)，这意味着 $c总是得到一些字符串: while true; do c=$(tail -2 /v
c++ - 单向链表添加节点(支持前端、尾部、中间添加)
我正在尝试编写一个“添加”函数，该函数接受节点中保存的值(表示为“n”)，以及节点要添加到链表中的位置(表示为“pos”)。我看到代码中有 3 个单独的添加函数 - addAtBeginning、a
C 字符串操作(切割一些特殊的 char* 尾部)
为什么我不能得到“cd fjadf”？程序总是向我显示 Bus error: 10... 我想用这个super_cut_tail()函数来截断用户指定的///fjdakf。但是为什么这个功能不能实现
mysql - 通过子字符串的最长公共(public)尾部(右侧部分)在表中查找字符串的行
有一个简化的表 mytable，其中列 ('id', 'mycolumn') 为 int 和 varchar(255 )分别。在 mycolumn 中查找当前字符串具有最长公共(public)右侧部
python - 读取文件的最后 n 行(尾部)而不逐行读取？
这个问题已经有答案了: 已关闭13 年前。 Possible Duplicate: Get last n lines of a file with Python, similar to tail 你好
go - 如何在 Go 服务器中设置 HTTP 尾部？
我想通过对写出的响应主体进行哈希处理来计算响应的实体标签。当我计算实体标签时，将实体标签添加到响应 header 已经太晚了。我想将实体标签添加到预告片中。我看到 net/http 包支持编写预告片，
linux - 尾部 : cannot open ‘+2’ for reading: No such file or directory
我正在尝试通过 script.sh 从第 2 行到第 5 行打印文件 (myfile) 的内容。脚本无法从位置 2 打开文件。并且内容从第 1 行打印到第 4 行。以下是文件内容、命令和命令的输出。
linux - 如何通过 awk 和 grep 输出 "filter"尾部？
在一个特殊的控制台上，我喜欢从/var/log/syslog 中过滤一些信息。这并不是很棘手: tail -f /var/log/syslog | awk '{print $2,$1,$9,$3,"\

首页

博学

6Ren·AI

商城