在 Spring 中添加管理部分答案

【问题标题】：Adding an admin section in Spring在 Spring 中添加管理部分
【发布时间】：2013-03-08 20:26:35
【问题描述】：

我有一个 Spring Web 项目，它需要一个管理部分。我认为这部分会很简单，并且我会遇到安全问题，但我什至无法指向 /admin/ 部分。

我的 dispatcher-servelet.xml 中有以下内容用于将 JSP 文件映射到控制器：

<context:component-scan base-package="controller"/>
<context:component-scan base-package="controller.admin"/>

<bean id="viewResolver"
      class="org.springframework.web.servlet.view.InternalResourceViewResolver"
      p:prefix="/WEB-INF/jsp/"
      p:suffix=".jsp" />

现在在 /WEB-INF/jsp/ 中有一个标有“admin”的文件夹，我有 adminindex.jsp。我在 web.xml 中也有以下内容

<?xml version="1.0" encoding="UTF-8"?>
<web-app version="2.5" xmlns="http://java.sun.com/xml/ns/javaee" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd">
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/applicationContext.xml</param-value>
    </context-param>
    <listener>
        <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
    </listener>
    <servlet>
        <servlet-name>dispatcher</servlet-name>
        <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
        <load-on-startup>2</load-on-startup>
    </servlet>
    <servlet-mapping>
        <servlet-name>dispatcher</servlet-name>
        <url-pattern>*.htm</url-pattern>
    </servlet-mapping>
    <session-config>
        <session-timeout>
            30
        </session-timeout>
    </session-config>
    <welcome-file-list>
        <welcome-file>redirect.jsp</welcome-file>
    </welcome-file-list>
    <security-constraint>
        <display-name>Constraint1</display-name>
    </security-constraint>
    <security-constraint>
        <display-name>admin pages</display-name>
        <web-resource-collection>
            <web-resource-name>Administration Pages</web-resource-name>
            <description/>
            <url-pattern>/admin/*</url-pattern>
        </web-resource-collection>
        <auth-constraint>
            <description/>
            <role-name>eCommerceAdmin</role-name>
        </auth-constraint>
        <!--  <user-data-constraint>
            <description/>
            <transport-guarantee>CONFIDENTIAL</transport-guarantee>
        </user-data-constraint>-->
    </security-constraint>
</web-app>

当我尝试访问时

localhost:8080/NewWebsite/admin/adminindex.htm

，我明白了

对所请求资源的访问被拒绝

信息：上下文监听器： attributeAdded('org.apache.jasper.compiler.TldLocationsCache', 'org.apache.jasper.compiler.TldLocationsCache@44d1bd08')

访问没有问题

localhost:8080/NewWebsite/index.htm，并且我还想对 admin 文件夹进行自动重定向，就像在根文件夹中一样。即去

localhost:8080/NewWebsite/ 指向 index.htm。

任何帮助都会很棒。

【问题讨论】：

如果您在此处提供更多代码，将很容易回答。只有这么多设置无济于事。您是否像 ROLE_ADMIN 一样向您的用户添加 ROLE？？
抱歉，我不确定还要添加什么。我已经添加了 web.xml 的全部内容，但我不确定如何调整它以包含管理员角色？
你在哪里将eCommerceAdmin这个角色添加到你的春天org.springframework.security.core.Authentication???
我认为这是之前的失败尝试，我忘记删除了。你知道我应该在哪里添加它吗？

标签： java spring spring-mvc

【解决方案1】：

首先您需要验证用户？不是吗？否则，您的应用程序将如何识别 ADMIN 正在尝试访问还是普通 USER？
在您执行此操作之前，请从您的 web.xml
中删除 security-constraint 因此，请在您的应用中添加 spring 身份验证。
首先创建一个 pojo 类以具有应实现 org.springframework.security.core.userdetails.UserDetails 的 GrantedAuthority 列表。下面是一个示例：

public class YourPojo implements UserDetails{


    /** The authorities. */
    //This collection will have eCommerceAdmin
    public Collection<GrantedAuthority> authorities;

    /** The username. */
    public String username;

    /** The account non expired. */
    public boolean accountNonExpired;

    /** The credentials non expired. */
    public boolean credentialsNonExpired;

    /** The enabled. */
    public boolean enabled;

    /** The Constant serialVersionUID. */
    private static final long serialVersionUID = -2342376103893073629L;

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#getAuthorities()
     */
    @Override
    public Collection<GrantedAuthority> getAuthorities() {
        return authorities;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#getPassword()
     */
    @Override
    public String getPassword() {
        return null;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#getUsername()
     */
    @Override
    public String getUsername() {
        return username;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#isAccountNonExpired()
     */
    @Override
    public boolean isAccountNonExpired() {
        return accountNonExpired;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#isAccountNonLocked()
     */
    @Override
    public boolean isAccountNonLocked() {
        return accountNonLocked;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#isCredentialsNonExpired()
     */
    @Override
    public boolean isCredentialsNonExpired() {
        return credentialsNonExpired;
    }

    /* (non-Javadoc)
     * @see org.springframework.security.core.userdetails.UserDetails#isEnabled()
     */
    @Override
    public boolean isEnabled() {
        return enabled;
    }


    /**
     * Sets the authorities.
     *
     * @param authorities the new authorities
     */
    public void setAuthorities(Collection<GrantedAuthority> authorities) {
        this.authorities = authorities;
    }

    /**
     * Sets the username.
     *
     * @param username the new username
     */
    public void setUsername(String username) {
        this.username = username;
    }

    /**
     * Sets the account non expired.
     *
     * @param accountNonExpired the new account non expired
     */
    public void setAccountNonExpired(boolean accountNonExpired) {
        this.accountNonExpired = accountNonExpired;
    }

    /**
     * Sets the account non locked.
     *
     * @param accountNonLocked the new account non locked
     */
    public void setAccountNonLocked(boolean accountNonLocked) {
        this.accountNonLocked = accountNonLocked;
    }

    /**
     * Sets the credentials non expired.
     *
     * @param credentialsNonExpired the new credentials non expired
     */
    public void setCredentialsNonExpired(boolean credentialsNonExpired) {
        this.credentialsNonExpired = credentialsNonExpired;
    }

    /**
     * Sets the enabled.
     *
     * @param enabled the new enabled
     */
    public void setEnabled(boolean enabled) {
        this.enabled = enabled;
    }

}

以下是您需要的 HTTP 标记。

<!-- to use Spring security tags -->
    <bean class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler" />
<http pattern="/login*" security="none"/>
<http pattern="/static/**" security="none"/>        
<http auto-config="false">      
        <intercept-url pattern="/admin/**" access="eCommerceAdmin" />
        <form-login login-page="/login" default-target-url="/welcome"
            authentication-failure-url="/loginfailed" />
        <logout logout-success-url="/logout" />     

        <session-management>
            <concurrency-control max-sessions="1" error-if-maximum-exceeded="true" />
        </session-management>           
    </http>

现在定义您的身份验证提供程序。

<bean id="customeAuthProvider" class="your.auth.provider.class">
  </bean>

   <authentication-manager >        
        <authentication-provider ref="customeAuthProvider" ></authentication-provider>
  </authentication-manager>

这个customeAuthProvider 应该实现org.springframework.security.authentication.AuthenticationProvider。

@Override
    public Authentication authenticate(Authentication authentication)
            throws AuthenticationException {

        UsernamePasswordAuthenticationToken userToken = (UsernamePasswordAuthenticationToken)authentication;
        String username = userToken.getName();
        String password = (String) authentication.getCredentials();
          //Do whatevr you want with the credentials
         //Then populate the authorities for this credential
         YourPojo user=new YourPojo ();
         user.setUserName("add username");
        //set other details
        List<GrantedAuthority> grantedAuthorityList = new ArrayList<GrantedAuthority>();
        //if user is admin add the below line
        GrantedAuthorityImpl grantedAuthorityImpl = new GrantedAuthorityImpl("eCommerceAdmin");
       //Add other authorities as applicable like 'user' etc.
       user.setAuthorities(grantedAuthorityList);
       return new UsernamePasswordAuthenticationToken(username, password, user.getAuthorities());

FYR 你可以在你的 web.xml 中引用安全 xml 文件，如下所示。你的 web.xml 应该有 spring 安全过滤器。

<context-param>
 <param-name>contextConfigLocation</param-name>
  <param-value>
    /WEB-INF/your-applicationContext.xml
    /WEB-INF/your-spring-security.xml
  </param-value>
</context-param>
<listener>
    <listener-class>org.springframework.web.context.ContextLoaderListener</listener-class>
</listener>

<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

您还需要 spring 安全依赖项。如果您在项目中使用 Maven，请添加以下依赖项，否则您可以手动下载这些 jar 并继续。

<!-- Spring Security -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>${spring.version}</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>${spring.version}</version>
</dependency>

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${spring.version}</version>
</dependency>

现在你可以走了.. FYR 通过this

【讨论】：

哇，这真是太好了，谢谢。如果可以的话，我有几个问题……我把 YourPojo 课放在哪里重要吗？ HTTP 标记和 bean 是否应该放置在 applicationContext 中？我把customeAuthProvider放在哪里重要吗？我还没有机会尝试这个，但我只是想澄清一下。
不用谢我。您可以对答案进行投票，稍后如果它有效（如果配置正确，则应该）然后可以接受答案。现在你的答案：你可以把YourPjojo放在任何地方。身份验证提供程序也一样，但你应该在bean中提供正确的包细节。http标签和bean不应该在applicationContext中，你可以把它放在其他xml中文件并将其附加到您的 web.xml..
如何将 UserDetails 包含到我的项目中？ Netbeans 目前正处于健康状态。 YourPojo 在抱怨，我也不确定如何包含新的 XML 文件。它们是否在调度程序中被引用？
UserDetails 是 spring 的 UserDetails 接口...你没有使用 applicationContext.xml 吗？你是如何在 web.xml 中引用它的？同样的方式添加你的新 xml ......已经添加了更多代码...查看编辑
你可以看到this ..你会看到一个详细的解释......而且来源也在那里。 :)

【解决方案2】：

您是否尝试将前缀更改为 WEB-INF/jsp/admin/ ？

【讨论】：

【解决方案3】：

问题不在视图解析器中，因此您提供的信息不足以回答您的问题。请显示更多配置，尤其是您的安全配置。

除了你的问题。 controller.admin 上的组件扫描应该不是必需的，因为第一个会扫描它。

【讨论】：

感谢您的建议，我已经包含了 web.xml 的其余部分，如何包含管理员角色并可能为其分配登录详细信息？

【解决方案4】：

我认为你应该考虑使用spring security，那么你可以配置spring security角色系统来控制访问。下面是从我的一个应用程序中获取的 sn-p，您可以看到 /admin 路径要求调用者具有管理员角色。 Spring security 设置起来有点复杂，但是一旦设置它就可以很好地工作。

<http auto-config='true' use-expressions="true" >

    <!-- public resources that everyone should be able to access -->
    <intercept-url pattern="/favicon.ico" access="permitAll" />
    <intercept-url pattern="/login"       access="permitAll" />
    <intercept-url pattern="/login/error" access="permitAll" />
    <intercept-url pattern="/**/*.js"        access="permitAll" />
    <intercept-url pattern="/**/*.jsp"       access="denyAll" />

    <intercept-url pattern="/admin/**"     access="hasRole('admin')" />

    </session-management>

</http>

【讨论】：