春のセキュリティ - どのように私のアプリケーションにログインできないのですか？

Question

私のアプリケーションにログインしようとすると多少厄介な問題があります。アプリケーションがきれいにロードし、/loginページに行く

protected void configure(HttpSecurity http) throws Exception { 
    System.out.println(http); 
    http 
     .formLogin() 
      .loginPage("/login") 
      .usernameParameter("ssoId") 
      .passwordParameter("password") 
      .and() 

     .authorizeRequests() 
      // I admit that this section needs some work 
      .antMatchers("/", "/home/*", "/alert/*", "/scheduler/*", "/agent/*", "/ftp/*", "/smtp/*", "/sql/*").access("hasRole('USER')") 
      .antMatchers("/benefit/*", "/client/*", "/contract/*", "/role/*", "/structure/*", "/term/*").access("hasRole('USER')") 
      .antMatchers("/", "/home/*", "/alert/*", "/scheduler/*", "/agent/*", "/ftp/*", "/smtp/*", "/sql/*").access("hasRole('ADMIN')") 
      .antMatchers("/benefit/*", "/client/*", "/contract/*", "/role/*", "/structure/*", "/term/*").access("hasRole('ADMIN')") 
      .antMatchers("/admin/**").access("hasRole('ADMIN')") 
      .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')") 

      .and() 
       .rememberMe().rememberMeParameter("remember-me").tokenRepository(persistentTokenRepository()).tokenValiditySeconds(86400) 
      .and() 
       .csrf() 
      .and() 
       .exceptionHandling().accessDeniedPage("/accessDenied"); 
} 

：

私の春のセキュリティprotected void configure(HttpSecurity http) throws Exceptionは次のように定義されます。しかし、ユーザーmasterとログオンして正しいパスワードを入力すると、単に/loginページに戻ります。

マイログインコントローラは次のとおりです。

@Controller 
public class LoginController { 

    @Autowired 
    UserProfileService userProfileService; 

    @Autowired 
    UserService userService; 

    @RequestMapping(value = { "/", "/home", "/welcome" }, method = RequestMethod.GET) 
    public String index(Principal principal) { 
     return principal != null ? "home/homeSignedIn" : "home/homeNotSignedIn"; 
    } 

    @RequestMapping(value = "/login") 
    public String loginPage() { 
     return "login"; 
    } 

    @RequestMapping(value="/logout", method = RequestMethod.GET) 
    public String logoutPage (HttpServletRequest request, HttpServletResponse response) { 
     Authentication auth = SecurityContextHolder.getContext().getAuthentication(); 
     if (auth != null){  
      new SecurityContextLogoutHandler().logout(request, response, auth); 
     } 
     return "redirect:/login?logout"; 
    } 

    private String getPrincipal(){ 
     String userName = null; 
     Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 

     if (principal instanceof UserDetails) { 
      userName = ((UserDetails)principal).getUsername(); 
     } else { 
      userName = principal.toString(); 
     } 
     return userName; 
    } 

    @ModelAttribute("roles") 
    public List<UserProfile> initializeProfiles() { 
     return userProfileService.findAll(); 
    } 
} 

User

@Entity 
@Table(name="user") 
public class User extends BasePojo { 

    @NotEmpty 
    @Column(name="sso_id", unique=true, nullable=false) 
    private String ssoId; 

    @NotEmpty 
    @Column(name="password", nullable=false) 
    private String password; 

    @NotEmpty 
    @Column(name="first_name") 
    private String firstName; 

    @NotEmpty 
    @Column(name="last_name") 
    private String lastName; 

    @Column(name="email", nullable=false) 
    private String email; 

    @Column(name="state", nullable=false) 
    private String state=UserState.ACTIVE.getState(); 

    @ManyToMany(fetch = FetchType.EAGER) 
    @Fetch(FetchMode.SELECT) 
    @JoinTable(name = "hrm_user_user_profile", 
     joinColumns = { @JoinColumn(name = "id_user", referencedColumnName="id") }, 
     inverseJoinColumns = { @JoinColumn(name = "id_profile", referencedColumnName="id") }) 
    @Cascade(org.hibernate.annotations.CascadeType.ALL) 
    private Set<UserProfile> userProfiles; 

UserProfile：

@Entity 
@Table(name="user_profile") 
public class UserProfile extends BasePojo { 

private static final long serialVersionUID = 1L; 

    @Column(name="type", length=15, unique=true, nullable=false) 
    private String type = UserProfileType.USER.getUserProfileType(); 

    // Constructor used only for initial data loading, not used after 
    public UserProfile() { 
    } 

    // Constructor used only for initial data loading, not used after 
    public UserProfile(String type) { 
     super(); 
     this.type = type; 
    } 

    public String getType() { 
     return type; 
    } 

    public void setType(String type) { 
     this.type = type; 
    } 
} 

UserState：

public enum UserState { 

    LOCKED("state.locked"), 
    INACTIVE("state.inactive"), 
    ACTIVE("state.active"); 

    String state; 

    private UserState(final String state){ 
     this.state = state; 
    } 

    public String getState(){ 
     return state; 
    } 

私はここで迷っています。助けてもらえますか？

Answer 1

私はあなたが正しく認証されていると信じています。ただし、/ login POSTハンドラメソッドでは、後続のリクエストにヘッダーにクッキーまたはトークンが含まれていることを確認する必要があります。

この方法では、以下のようにあなたが設定したルールは、例えば

 .antMatchers("/", "/home/*", "/alert/*", "/scheduler/*", "/agent/*", "/ftp/*", "/smtp/*", "/sql/*").access("hasRole('USER')") 
     .antMatchers("/benefit/*", "/client/*", "/contract/*", "/role/*", "/structure/*", "/term/*").access("hasRole('USER')") 
     .antMatchers("/", "/home/*", "/alert/*", "/scheduler/*", "/agent/*", "/ftp/*", "/smtp/*", "/sql/*").access("hasRole('ADMIN')") 
     .antMatchers("/benefit/*", "/client/*", "/contract/*", "/role/*", "/structure/*", "/term/*").access("hasRole('ADMIN')") 
     .antMatchers("/admin/**").access("hasRole('ADMIN')") 
     .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')") 

を適用され、ユーザーがアクセス/家庭しようとしていると言うことができます。ユーザーは認証されていないため、ログインページにリダイレクトされます。ユーザはユーザ名とパスワードを入力し、今認証されます。これが完了すると、デフォルトでスプリングセキュリティがユーザをリターンURL/homeにリダイレクトします。デフォルトでは、バネセキュリティはレスポンスにクッキーを追加します。その結果、すべての後続のリクエストにリクエスト内のそのクッキーが含まれます。私はこれがあなたの場合に起こっていないと信じています。私はあなたの春のセキュリティ設定についてもっと知りたいと思います。ユーザー認証はどのように行われますか？それはメモリ認証ですか？またはデータソース認証？