请求绕过春季安全过滤
问题描述:
请求:/ myProjectName /人/我的资料/请求绕过春季安全过滤
被忽略的(即当我不应该我可以访问它):
<security:intercept-url pattern="/person/myProfile" access="isAuthenticated()"/>
但是,如果我写的:
<security:intercept-url pattern="/person/**" access="isAuthenticated()"/>
它的工作原理。
我有控制器的处理器映射:
@RequestMapping("/person")
与此控制器内我有方法与处理程序映射:
@RequestMapping(value= "/myProfile")
我不理解的事。我不想放置“/ person/**”,因为我会限制其他应该可用于匿名的处理程序方法。 :-(
答
的问题是与理解请求
首先:除非明确说明,因为它是自动使用小写字母不区分大小写不
二:如果你是控制狂像我一样,保护每一个可能的请求手动确保有区别/请求和/要求/春季安全对待他们分开(允许第二) - 如果我们写...
<security:intercept-url pattern="/request" access="isAuthenticated()"/>
但是,如果我们写:
<security:intercept-url pattern="/request/**" access="isAuthenticated()"/>
我们保护两种类型,所以在我的情况,我应该已经把
<security:intercept-url pattern="/person/myProfile/**" access="isAuthenticated()"/>
良好的一天,并注意;-)雷得特别难看因为它开始访问会在未经授权的情况下抛出异常的字段。