java - 使用 Spring Security 使 JSF 资源可公开访问

Question

我已经在我的 jsf 应用程序中实现了 spring security。除了静态资源需要身份验证之外，一切工作正常。这是我的配置

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();

    http.authorizeRequests()
            .antMatchers("/register", "/resources/**").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/login").permitAll()
           .usernameParameter("username").passwordParameter("password")
            .and().exceptionHandling().accessDeniedPage("/Access_Denied");
}

经过一番谷歌搜索，大多数解决方案是添加 mvc 资源标签。

  <mvc:resources mapping="/resources/**" location="/resources/"
    cache-period="31556926"/>

我找到了类似的注释并为此添加了一个配置类

@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {

    // equivalents for <mvc:resources/> tags
    @Override
    public void addResourceHandlers(ResourceHandlerRegistry registry) {
        registry.addResourceHandler("/resources/**").addResourceLocations("/resources/").setCachePeriod(31556926);
    }

    // equivalent for <mvc:default-servlet-handler/> tag
    @Override
    public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
        configurer.enable();
    }
}

但是静态资源仍然需要身份验证。关于如何完成这项工作，一些帮助会很好。

注意:我的资源放置在 /src/main/webapp/resources/{css|js|image} 中。问题是如果用户没有登录，css、js的效果不会在登录页面显示。用户登录一次后，登录后来到登录页面，出现css效果。

Answer 1

JSF 托管库资源由 /javax.faces.resource/** 路径提供。因此，您需要使该路径可公开访问:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();

    http.authorizeRequests()
        .antMatchers("/register", "/javax.faces.resource/**").permitAll()
        .antMatchers("/**").authenticated()
        .and().formLogin().loginPage("/login").permitAll()
        .usernameParameter("username").passwordParameter("password")
        .and().exceptionHandling().accessDeniedPage("/Access_Denied");
}

您可能还希望浏览器缓存这些资源。然后，将此部分添加到您的配置中，这将为每个与 /javax.faces.resource/** 请求匹配的响应添加一个 header 编写器:

http.headers()
        .addHeaderWriter(new DelegatingRequestMatcherHeaderWriter(
                new AntPathRequestMatcher("/javax.faces.resource/**"),
                new HeaderWriter() {

                    @Override
                    public void writeHeaders(HttpServletRequest request,
                            HttpServletResponse response) {
                        response.addHeader("Cache-Control", "private, max-age=86400");
                    }
                }))
        .defaultsDisabled();

另请参阅:

• What is the JSF resource library for and how should it be used?