Spring security “春季安全预授权”;过滤器=无”;不起作用
奇怪的是 我正在使用spring security和siteminder,它工作得很好。然而,我想有一个url是不受保护的-我们的loadBalancer需要一个“healthCheck”的应用程序本身的url。siteminder没有截取此url,但spring security似乎无论如何都会对其应用预授权 如果我使用一个简单的基于表单的安全配置在本地运行它,那么以下工作(不包括过滤器):Spring security “春季安全预授权”;过滤器=无”;不起作用,spring-security,siteminder,pre-authentication,Spring Security,Siteminder,Pre Authentication,奇怪的是 我正在使用spring security和siteminder,它工作得很好。然而,我想有一个url是不受保护的-我们的loadBalancer需要一个“healthCheck”的应用程序本身的url。siteminder没有截取此url,但spring security似乎无论如何都会对其应用预授权 如果我使用一个简单的基于表单的安全配置在本地运行它,那么以下工作(不包括过滤器): 在这种情况下,我可以浏览到localhost/myApp/resources/html/healt
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/html/healthCheck.html" filters="none" />
<intercept-url pattern="/css/**" filters="none" />
<intercept-url pattern="/images/**" filters="none" />
<intercept-url pattern="/js/**" filters="none" />
<intercept-url pattern="/login" filters="none" />
<intercept-url pattern="/favicon.ico" filters="none" />
<intercept-url pattern="/*" access="hasAnyRole('ROLE_USER')" />
<custom-filter position="PRE_AUTH_FILTER" ref="siteminderFilter" />
</http>
java.lang.IllegalArgumentException: Cannot pass null or empty values to constructor
org.springframework.security.core.userdetails.User.<init>(User.java:94)
com.myApp.security.SecuritySBSUserDetailsService.loadUserByUsername(SecuritySBSUserDetailsService.java:119)
org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper.loadUserDetails(UserDetailsByNameServiceWrapper.java:53)
java.lang.IllegalArgumentException:无法将null或空值传递给构造函数
org.springframework.security.core.userdetails.User.(User.java:94)
com.myApp.security.SecuritySBSUserDetailsService.loadUserByUsername(SecuritySBSUserDetailsService.java:119)
org.springframework.security.core.userdetails.UserDetailsByNameServiceWrapper.loadUserDetails(UserDetailsByNameServiceWrapper.java:53)
<beans:bean id="siteminderFilter" class="org.springframework.security.web.authentication.preauth.RequestHeaderAuthenticationFilter">
<beans:property name="principalRequestHeader" value="SM_USER" />
<beans:property name="exceptionIfHeaderMissing" value="false" />
<beans:property name="authenticationManager" ref="authenticationManager" />
</beans:bean>
i、 e.我已将exceptionIfHeaderMissing设置为false,如果这有帮助的话..好的,据我所知,这似乎是spring security中的一个bug。我通过在UserDetailsService中的loadUserByName方法的开头添加一个伪返回来解决这个问题
@Override
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException, DataAccessException {
logger.trace(">> loadUserByUsername()");
logger.info("-- loadUserByUsername(): username : {}", userName);
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
if(userName==null || userName.trim().equals("")) {
return(new User("ANONYMOUS", "", true, true, true, true, authorities));
}
// rest of auth checks
@覆盖
公共用户详细信息loadUserByUsername(字符串用户名)
抛出UsernameNotFoundException、DataAccessException{
logger.trace(“>>loadUserByUsername()”);
info(“--loadUserByUsername():用户名:{}”,用户名);
列表权限=新建ArrayList();
if(userName==null | | userName.trim().equals(“”){
返回(新用户(“匿名”、“真实”、“真实”、“真实”、“权威”);
}
//其余的身份验证检查
似乎在我的配置中,根本不应该触发UserDetails检查(就像表单一样…)。如果有人有一个基于配置的解决方法,我会给你一个加号:-)我能看到的最明显的事情是,
/resources/html/healthCheck.html/html/healthCheck.html自动配置/**/*这里可能还值得一提的是,对于定义空的过滤器链,还允许您使用
@Override
public UserDetails loadUserByUsername(String userName)
throws UsernameNotFoundException, DataAccessException {
logger.trace(">> loadUserByUsername()");
logger.info("-- loadUserByUsername(): username : {}", userName);
List<GrantedAuthority> authorities = new ArrayList<GrantedAuthority>();
if(userName==null || userName.trim().equals("")) {
return(new User("ANONYMOUS", "", true, true, true, true, authorities));
}
// rest of auth checks