Java 针对web服务和用户的Spring安全性

我们有一个web应用程序，我们希望使用spring security以两种不同的方式保护它：

1） 使用登录表单进行身份验证并有权访问某些服务的用户

2） 使用摘要身份验证（用户+密码在请求头中传递）保护的其他服务-由其他Web应用程序使用，因此没有登录表单

这些都是独立工作的，但我们无法让它们在同一个web应用程序中工作。 当我们尝试使用两个XML运行webapp时，会出现以下错误：

A universal match pattern ('/**') is defined  before other patterns in the filter chain, causing them to be ignored. Please check the ordering in your <security:http> namespace or FilterChainProxy bean configuration

在筛选器链中的其他模式之前定义了通用匹配模式（'/**'），导致忽略它们。请检查命名空间或FilterChainProxy bean配置中的顺序

用于用户的security.xml文件：

<security:http use-expressions="true">
    <security:intercept-url pattern="/user/login"
        access="permitAll" />
    ...
    <security:intercept-url pattern="/**"
        access="isAuthenticated()" />

    <security:form-login
        authentication-success-handler-ref="userAuthenticationSuccessHandler" />

    <security:logout logout-url="/user/logout"
        logout-success-url="/demo/user/logoutSuccess" />
</security:http>

<bean id="bCryptPasswordEncoder"
    class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

<security:authentication-manager alias="authenticationManager">
    <security:authentication-provider
        ref="authenticationProvider">
    </security:authentication-provider>
</security:authentication-manager>

...

web服务的rest-security.xml文件：

<security:http create-session="stateless"
    entry-point-ref="digestEntryPoint">
    <security:intercept-url pattern="/provider/**"
        access="ROLE_WEBAPP" />

    <security:http-basic />
    <security:custom-filter ref="digestFilter"
        after="BASIC_AUTH_FILTER" />
</security:http>

<bean id="digestFilter"
    class="org.springframework.security.web.authentication.www.DigestAuthenticationFilter">
    <property name="userDetailsService" ref="webappDetailsServiceImpl" />
    <property name="authenticationEntryPoint" ref="digestEntryPoint" />
</bean>

<bean id="digestEntryPoint"
    class="org.springframework.security.web.authentication.www.DigestAuthenticationEntryPoint">
    <property name="realmName" value="Contacts Realm via Digest Authentication" />
    <property name="key" value="acegi" />
</bean>

<security:authentication-manager>
    <security:authentication-provider
        ref="restAuthenticationProvider">
    </security:authentication-provider>
</security:authentication-manager>

---

有没有人有过这样的经历？

< P>这可能不是你想要的，但是我会考虑把两个API分开。一个用于人，一个用于web服务

我们的人机界面就在根上下文之外：

http（s）：//your.website.com/

然后，我们的web服务接口脱离api上下文：

http（s）：//your.website.com/api/v1/

这使得使用spring处理两种不同类型的安全性变得很容易。

错误消息

通用匹配模式在过滤器链中的其他模式之前定义，导致忽略它们

它非常简洁

您应该检查web.xml中contextConfigLocation上下文参数的bean定义文件的顺序

<context-param>  
    <param-name>contextConfigLocation</param-name>  
    <param-value>security.xml,rest-security.xml</param-value>  
</context-param>

上下文配置位置
xml，rest-security.xml

应重现上述错误消息

<context-param>  
    <param-name>contextConfigLocation</param-name>  
    <param-value>rest-security.xml,security.xml</param-value>  
</context-param>

上下文配置位置
rest security.xml，security.xml

---

应该可以解决这个问题。

我在这里找到了解决方案：

这篇文章详细说明了我想做什么

技巧似乎是向rest http元素添加

pattern=“/provider/**”

。因此，正确的rest安全配置是：

<security:http create-session="stateless"
    entry-point-ref="digestEntryPoint" pattern="/provider/**"
    use-expressions="true">
    <security:intercept-url pattern="/provider/**"
        access="isAuthenticated()" />

    <security:http-basic />
    <security:custom-filter ref="digestFilter"
        after="BASIC_AUTH_FILTER" />
</security:http>

这正是我们正在尝试做的……但它不适用于当前的spring安全配置，我也找不到一个连贯的例子来说明如何做到这一点。您有关于这个主题的文档/教程吗？这两个安全XML不是在contextConfigLocation中定义的，只是在应用程序上下文（导入其他XML）中定义的。我尝试了您的解决方案，但仍然收到相同的错误消息。然而，这似乎是问题的根本原因。您能否将整个安全上下文保存在一个文件中，或者甚至将所有security:intercept url元素放在一个security:http元素中？