Printemps de Sécurité personnalisé d'échec de l'authentification gestionnaire de redirection avec le paramètre

J'ai un problème avec le Printemps de Sécurité de l'échec de l'authentification gestionnaire de redirection avec le paramètre.

En sécurité config quand j'utilise

failureUrl("/login.html?error=true")

il fonctionne. Mais quand j'utilise l'authentification personnalisée échec gestionnaire (comme illustré ci-dessous), elle revient toujours: url/login.html

getRedirectStrategy().sendRedirect(request, response, "/login.html?error=true");

response.sendRedirect(request.getContextPath() + "/login.html?error=true");

Je ne sais pas quoi de mal. Pourquoi ne pas afficher le paramètre ?error=true?

Info: je suis à l'aide de Printemps + JSF + Hibernate + Ressort de Sécurité

@Override
protected void configure(HttpSecurity http) throws Exception {

    http
        .authorizeRequests()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .loginPage("/login.html")
            .usernameParameter("j_username")
            .passwordParameter("j_password")
            .loginProcessingUrl("/j_spring_security_check")
            .failureHandler(customAuthenticationFailureHandler)//.failureUrl("/login.html?error=true")//.successHandler(authSuccsessHandler)
            .defaultSuccessUrl("/dashboard.html")
            .permitAll()
            .and()
        .logout()
            .invalidateHttpSession(true)
            .logoutSuccessUrl("/")
            .permitAll()
            .and()
        .exceptionHandling()
            .accessDeniedPage("/access.html")
            .and()
        .headers()
            .defaultsDisabled()
            .frameOptions()
            .sameOrigin()
            .cacheControl();

    http
        .csrf().disable();
}

C'est la coutume d'échec de l'authentification gestionnaire:

@Component
public class CustomAuthFailureHandler extends SimpleUrlAuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException exception) throws IOException, ServletException {
        getRedirectStrategy().sendRedirect(request, response, "/login.html?error=true");

    }
}

Je vais changer de paramètre pour certains cas.

Cette réponse pourrait être utile stackoverflow.com/questions/17199423/...

OriginalL'auteur mstykt | 2017-05-08

spring spring-security

11

Vous n'avez pas autoriser l'accès anonyme à l'URL /login.html?error=true, de sorte que vous êtes redirigé vers la page de connexion (/login.html).

AbstractAuthenticationFilterConfigurer#permitAll permet d'accéder (par personne) à l'échec de l'URL mais pas pour coutume de défaillance du gestionnaire:

Assure la url pour failureUrl(String) ainsi que pour la HttpSecurityBuilder, le getLoginPage() et getLoginProcessingUrl() d'accorder l'accès à tout utilisateur.

Vous devez autoriser l'accès explicitement avec AbstractRequestMatcherRegistry#antMatchers:

Cartes une Liste de AntPathRequestMatcher instances qui ne se soucient pas qui HttpMethod est utilisé.

et ExpressionUrlAuthorizationConfigurer.AuthorizedUrl#permitAll:

Spécifier que les Url sont autorisés par personne.

Vous n'avez pas à permettre à l'URL exacte /login.html?error=true, parce que AntPathRequestMatcher ignore la requête chaîne:

Comparateur qui compare un pré-définis ant-style de modèle de rapport à l'URL ( servletPath + pathInfo) d'un HttpServletRequest. La chaîne de requête de l'URL est ignoré et la comparaison est sensible à la casse ou à la casse, selon les arguments passés au constructeur.

Vos modifications de configuration:
```
@Override
protected void configure(HttpSecurity http) throws Exception {

    http
        .authorizeRequests()
            .antMatchers("/login.html").permitAll()
            .anyRequest().authenticated()
            .and()
        .formLogin()
            .loginPage("/login.html")
            .usernameParameter("j_username")
            .passwordParameter("j_password")
            .loginProcessingUrl("/j_spring_security_check")
            .failureHandler(customAuthenticationFailureHandler)//.failureUrl("/login.html?error=true")//.successHandler(authSuccsessHandler)
            .defaultSuccessUrl("/dashboard.html")
            .permitAll()
            .and()
        .logout()
            .invalidateHttpSession(true)
            .logoutSuccessUrl("/")
            .permitAll()
            .and()
        .exceptionHandling()
            .accessDeniedPage("/access.html")
            .and()
        .headers()
            .defaultsDisabled()
            .frameOptions()
            .sameOrigin()
            .cacheControl();

    http
        .csrf().disable();
}
```
Puis-je vous demander quel est l'avantage de l'appel getRedirectStrategy().sendRedirect(request, response, "/login.le html?erreur=true") de la réponse.sendRedirect ("demande.getContextPath() + "/login.le html?erreur=true")
C'est juste une manière de soutenir des stratégies différentes. La valeur par défaut est DefaultRedirectStrategy Il calcule la droite de l'URL.

OriginalL'auteur dur

Vous devez vous connecter pour publier un commentaire.