本文探讨了SpringMVC框架中权限拦截的问题,特别是在使用SpringSecurity时遇到的特殊情况。当对/user/detail路径设置权限拦截时,发现/user/detail.abc也能访问。文章分析了问题原因在于框架的正则匹配机制,并提供了通过配置RequestMappingHandlerMapping的useSuffixPatternMatch属性来解决此问题的方法。
问题描述:
框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问
问题原因:
SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/user/detail.*,因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理
解决办法:
SpringMVC支持路径匹配规则,RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性,通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为
<mvc:annotation-driven> <mvc:path-matching suffix-pattern="false" /> <!--如果没有该项配置,则默认为true--> </mvc:annotation-driven>
这样配置之后,你再通过“/user/detail.abc”来访问时,就会报404或405的错误了,从而达到权限拦截的目的
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
