java - 如何使用 Spring Security 保护包含的页面

Question

假设我有一个包含另一个 protected 页面的 main.jsp

<%
RequestDispatcher rd = request.getRequestDispatcher("secure/protected.jsp");
rd.include(request, response);
%>


<http auto-config="true" once-per-request="true">
        <intercept-url pattern="/secure/**" access="ROLE_SUPERVISOR" />
....
</http>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
    <dispatcher>REQUEST</dispatcher>
    <dispatcher>INCLUDE</dispatcher>
    <dispatcher>FORWARD</dispatcher>
</filter-mapping>

目前，我查到的是:

• 实际上调用了 Spring 安全过滤器。
• protected.jsp 仍然显示在 main.jsp 中。 (但我预计 protected.jsp 会被 spring security 屏蔽)

我看过相关讨论: Spring Security Allows Unauthorized User Access to Restricted URL from a Forward

是否可以保护包含的 jsp？如果不是，为什么？我想原因是当我们使用请求调度程序时，我们仍然传递原始请求，所以 spring 安全过滤器只知道原始请求路径 (main.jsp) 而不知道目标包含路径 (protected.jsp)。因此，它不会阻止包含 protected.jsp

但它不起作用。我使用 Spring 安全 3.1.2。

Answer 1

包含一个 JSP 基本上意味着将另一个 JSP 的内容内联到当前输出 (html) 文档中。正如 san-krish 提到的，这些 JSP 包含不进行 servlet 过滤器操作。

它们的主要用途是在您拥有可重用的 JSP 时使用，例如用于导航或分页。通常，它们不会被 servlet 容器公开。因此，它们应该位于 WEB-INF 下。

您没有披露足够的申请信息。但是您似乎正试图在一个 JSP 中路由到不同的页面。

将其视为设计缺陷。您的 View (JSP)应该只呈现模型数据，而您的 Controller (HttpServlet 或更好的 Spring MVC 请求处理程序)应该决定是否应该采用 JSP A 或 B渲染。

如果我的假设有误 - 对噪音感到抱歉。

如果您尝试在登录后向用户显示不同的内容，您应该考虑实现自定义 AuthenticationSuccessHandler它根据附加到 principal 的角色重定向到不同的 JSP。

如果您只想根据用户角色显示或隐藏页面内容，您应该利用 Spring Security's Taglib :

在您的 pom.xml 中包含 Spring Security Taglib 工件(我认为 Maven 是理所当然的)。

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>3.1.1.RELEASE</version>
</dependency>

将标签库添加到您的 JSP。

<%@ taglib prefix="security" uri="http://www.springframework.org/security/tags"%>

并用authorize 标签包围include。更好的是，您应该将 authorize 移动到 protected.jsp 中以获得更好的可重用性。

<security:authorize ifAllGranted="ROLE_SUPERVISOR">
    <jsp:include page="secure/protected.jsp" />
</security:authorize>