在 j_spring_security_check 之后重定向

Question

我能够让 spring security 一切都与以下内容一起工作：

<http access-denied-page="/start.jsf">
    <intercept-url pattern="/start.jsf" filters="none" />
    <intercept-url pattern="/web/**" access="ROLE_USER" />
    <form-login login-page="/start.jsf" default-target-url="/web/user/homepage.jsf"
            authentication-success-handler-ref="successHandler" always-use-default-target="true"
            authentication-failure-url="/index.jsf?state=failure"/>
    <logout logout-success-url="/index.jsf?state=logout" />
</http>

<beans:bean id="successHandler" class="com.myapp.security.MyAuthenticationSuccessHandler"/>

我的问题是针对 MyAuthenticationSuccessHandler 类，在它通过身份验证后，它只是保持为空白页。我可以使用 context.redirect() 重定向到默认主页，但是有没有办法让它自动转到默认主页？我什至在 spring xml 中列出了它。

Answer 1

这可能不起作用的原因之一是因为您的 com.myapp.security.MyAuthenticationSuccessHandler 没有扩展 org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler或任何其他在 #onAuthenticationSuccess 内部重定向的身份验证处理程序。

您可以通过让您的服务扩展为您执行此操作的服务来使其工作而无需手动重定向。比如……

@Service("authenticationSuccessHandler")
public class WebAuthenticationSuccessHandlerImpl extends SavedRequestAwareAuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        //do your work here then call super so it redirects accordingly
        super.onAuthenticationSuccess(request, response, authentication);
    }
}

Answer 2

尝试删除default-target-url 属性并添加以下内容：

<beans:bean id="successHandler" class="com.myapp.security.MyAuthenticationSuccessHandler">
    <beans:property name="defaultTargetUrl" value="/web/user/homepage.jsf"/>
</beans:bean>

Spring 安全文档说，当使用自定义身份验证成功处理程序时，您必须删除该属性并在处理程序中设置目标。