我已经在我的 jsf 应用程序中实现了 spring security。除了静态资源需要身份验证之外,一切工作正常。这是我的配置
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests()
.antMatchers("/register", "/resources/**").permitAll()
.anyRequest().authenticated()
.and().formLogin().loginPage("/login").permitAll()
.usernameParameter("username").passwordParameter("password")
.and().exceptionHandling().accessDeniedPage("/Access_Denied");
}
经过一番谷歌搜索,大多数解决方案是添加 mvc 资源标签。
<mvc:resources mapping="/resources/**" location="/resources/"
cache-period="31556926"/>
我找到了类似的注释并为此添加了一个配置类
@Configuration
@EnableWebMvc
public class WebMvcConfig extends WebMvcConfigurerAdapter {
// equivalents for <mvc:resources/> tags
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/resources/**").addResourceLocations("/resources/").setCachePeriod(31556926);
}
// equivalent for <mvc:default-servlet-handler/> tag
@Override
public void configureDefaultServletHandling(DefaultServletHandlerConfigurer configurer) {
configurer.enable();
}
}
但是静态资源仍然需要身份验证。关于如何完成这项工作,一些帮助会很好。
注意:我的资源放置在 /src/main/webapp/resources/{css|js|image}
中。问题是如果用户没有登录,css、js的效果不会在登录页面显示。用户登录一次后,登录后来到登录页面,出现css效果。
最佳答案
JSF 托管库资源由 /javax.faces.resource/**
路径提供。因此,您需要使该路径可公开访问:
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable();
http.authorizeRequests()
.antMatchers("/register", "/javax.faces.resource/**").permitAll()
.antMatchers("/**").authenticated()
.and().formLogin().loginPage("/login").permitAll()
.usernameParameter("username").passwordParameter("password")
.and().exceptionHandling().accessDeniedPage("/Access_Denied");
}
您可能还希望浏览器缓存这些资源。然后,将此部分添加到您的配置中,这将为每个与 /javax.faces.resource/**
请求匹配的响应添加一个 header 编写器:
http.headers()
.addHeaderWriter(new DelegatingRequestMatcherHeaderWriter(
new AntPathRequestMatcher("/javax.faces.resource/**"),
new HeaderWriter() {
@Override
public void writeHeaders(HttpServletRequest request,
HttpServletResponse response) {
response.addHeader("Cache-Control", "private, max-age=86400");
}
}))
.defaultsDisabled();
另请参阅:
关于java - 使用 Spring Security 使 JSF 资源可公开访问,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/39086947/