Spring Security仅在HTTPS上有效

2020-09-27 00:06发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我正在研究Hybris 6.4,现在正面临春季安全问题。

当我尝试使用HTTPS协议登录时( https://localhost:9002/training/)效果很好。

替代文字

但是当我尝试使用HTTP协议登录时( http://localhost:9001/training/),服务器将重定向到 http://localhost:9001/training/j_spring_security_check 并回答 403状态错误。

替代文本

这是我的spring安全配置文件。

  
 
      
      
      
     
      
          
          
          
          
          <表单登录
              login-page ="/img/login.jsp"
              username-parameter =" j_username"
              password-parameter =" j_password"
              login-processing-url ="/img/j_spring_security_check"
              authentication-failure-url ="/img/login.jsp?login_error = 1"
         />
          
          
          
          <标题>
              
          
      
 
      
          
      
 
      
          
          
          
      
 
      <身份验证管理器>
          
      
 
      
          
      
 
      
 
  

  

这是我的web.xml文件

  <?xml version =" 1.0" encoding =" iso-8859-1"?>
  <!-
   [y] hybris平台
 
   版权所有(c)2017 SAP SE或SAP关联公司。 版权所有。
 
   该软件是SAP的机密和专有信息
   ("机密信息")。 您不得透露此类机密信息
   信息,并且仅应按照以下条款使用
   您与SAP签订的许可协议。
  ->
 
  
      <绝对排序/>
 
      头皮
 
      <登录配置>
           BASIC 
      
 
      <!-错误页面->
 
      <错误页面>
          <错误代码> 500 
          /500.jsp 
      
 
      <错误页面>
          <错误代码> 404 
          /404.jsp 
      
 
      <错误页面>
          <错误代码> 405 
          /405.jsp 
      
 
      <错误页面>
          <错误代码> 403 
          /login.jsp?login_error=1 
      
 
      <错误页面>
          <错误代码> 401 
          /login.jsp?login_error=1 
      
 
      <过滤器>
           XSSFilter 
           de.hybris.platform.servicelayer.web.XSSFilter 
      
 
      <过滤器>
           characterEncodingFilter 
           org.springframework.web.filter.CharacterEncodingFilter 
          
              编码
               UTF-8 
          
          
               forceEncoding 
               true 
          
      
 
      <过滤器>
           scalpPlatformFilterChain 
           org.springframework.web.filter.DelegatingFilterProxy 
      
 
      <!-Spring Security Filter-如果要保护应用程序安全,请取消注释->
      <过滤器>
           springSecurityFilterChain 
           org.springframework.web.filter.DelegatingFilterProxy 
      
 
      <!-过滤器映射->
      <过滤器映射>
           XSSFilter 
          /* 
      
 
      <过滤器映射>
           characterEncodingFilter 
          /* 
      
 
      <过滤器映射>
           scalpPlatformFilterChain 
          /* 
      
 
      <!-Spring Security Filter映射-如果要保护应用程序安全,请取消注释->
      <过滤器映射>
           springSecurityFilterChain 
          /* 
      
 
      <!-
          使用"会话"和"请求"范围启用Spring Web应用程序上下文。
          -" contextConfigLocation"指定配置文件的位置。
          -HybrisContextLoaderListener扩展了通常的SpringContextLoaderListener(将加载
            来自指定位置的上下文),方法是添加以下内容的全局应用程序上下文:
            作为父上下文的平台。
          -需要RequestContextListener才能将" request"作用域暴露给上下文。
            此外,当为您的Web应用程序覆盖" jalosession" bean时,它是必需的。
       ->
      
           contextConfigLocation 
           WEB-INF/config/scalp-web-app-config.xml 
      
 
      <听者>
           de.hybris.platform.spring.HybrisContextLoaderListener 
      
 
      <听者>
           org.springframework.web.context.request.RequestContextListener 
      
 
      
           springmvc 
           org.springframework.web.servlet.DispatcherServlet 
          
               contextConfigLocation 
               WEB-INF/config/scalp-spring-mvc-config.xml 
          
           1 
      
 
      
           springmvc 
          /
      
     
      <会话配置>
           120 
           COOKIE 
      
     
  
 

  

(57.9 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


嗨,

我正在研究Hybris 6.4,现在正面临春季安全问题。

当我尝试使用HTTPS协议登录时( https://localhost:9002/training/)效果很好。

替代文字

但是当我尝试使用HTTP协议登录时( http://localhost:9001/training/),服务器将重定向到 http://localhost:9001/training/j_spring_security_check 并回答 403状态错误。

替代文本

这是我的spring安全配置文件。

  
 
      
      
      
     
      
          
          
          
          
          <表单登录
              login-page ="/img/login.jsp"
              username-parameter =" j_username"
              password-parameter =" j_password"
              login-processing-url ="/img/j_spring_security_check"
              authentication-failure-url ="/img/login.jsp?login_error = 1"
         />
          
          
          
          <标题>
              
          
      
 
      
          
      
 
      
          
          
          
      
 
      <身份验证管理器>
          
      
 
      
          
      
 
      
 
  

  

这是我的web.xml文件

  <?xml version =" 1.0" encoding =" iso-8859-1"?>
  <!-
   [y] hybris平台
 
   版权所有(c)2017 SAP SE或SAP关联公司。 版权所有。
 
   该软件是SAP的机密和专有信息
   ("机密信息")。 您不得透露此类机密信息
   信息,并且仅应按照以下条款使用
   您与SAP签订的许可协议。
  ->
 
  
      <绝对排序/>
 
      头皮
 
      <登录配置>
           BASIC 
      
 
      <!-错误页面->
 
      <错误页面>
          <错误代码> 500 
          /500.jsp 
      
 
      <错误页面>
          <错误代码> 404 
          /404.jsp 
      
 
      <错误页面>
          <错误代码> 405 
          /405.jsp 
      
 
      <错误页面>
          <错误代码> 403 
          /login.jsp?login_error=1 
      
 
      <错误页面>
          <错误代码> 401 
          /login.jsp?login_error=1 
      
 
      <过滤器>
           XSSFilter 
           de.hybris.platform.servicelayer.web.XSSFilter 
      
 
      <过滤器>
           characterEncodingFilter 
           org.springframework.web.filter.CharacterEncodingFilter 
          
              编码
               UTF-8 
          
          
               forceEncoding 
               true 
          
      
 
      <过滤器>
           scalpPlatformFilterChain 
           org.springframework.web.filter.DelegatingFilterProxy 
      
 
      <!-Spring Security Filter-如果要保护应用程序安全,请取消注释->
      <过滤器>
           springSecurityFilterChain 
           org.springframework.web.filter.DelegatingFilterProxy 
      
 
      <!-过滤器映射->
      <过滤器映射>
           XSSFilter 
          /* 
      
 
      <过滤器映射>
           characterEncodingFilter 
          /* 
      
 
      <过滤器映射>
           scalpPlatformFilterChain 
          /* 
      
 
      <!-Spring Security Filter映射-如果要保护应用程序安全,请取消注释->
      <过滤器映射>
           springSecurityFilterChain 
          /* 
      
 
      <!-
          使用"会话"和"请求"范围启用Spring Web应用程序上下文。
          -" contextConfigLocation"指定配置文件的位置。
          -HybrisContextLoaderListener扩展了通常的SpringContextLoaderListener(将加载
            来自指定位置的上下文),方法是添加以下内容的全局应用程序上下文:
            作为父上下文的平台。
          -需要RequestContextListener才能将" request"作用域暴露给上下文。
            此外,当为您的Web应用程序覆盖" jalosession" bean时,它是必需的。
       ->
      
           contextConfigLocation 
           WEB-INF/config/scalp-web-app-config.xml 
      
 
      <听者>
           de.hybris.platform.spring.HybrisContextLoaderListener 
      
 
      <听者>
           org.springframework.web.context.request.RequestContextListener 
      
 
      
           springmvc 
           org.springframework.web.servlet.DispatcherServlet 
          
               contextConfigLocation 
               WEB-INF/config/scalp-spring-mvc-config.xml 
          
           1 
      
 
      
           springmvc 
          /
      
     
      <会话配置>
           120 
           COOKIE 
      
     
  
 

  

(57.9 kB)
付费偷看设置
发送
2条回答
Nir深蓝
1楼-- · 2020-09-27 00:44

对您来说可能为时已晚,您可能已经知道了。 以下链接可以提供帮助。 https://help.hybris.com/6.5.0/hcd/8aef3efe8669101481a0ffe871a2f84c.html

Cikesha
2楼-- · 2020-09-27 00:52

尝试在http的拦截网址模式中添加ROLE_ADMIN或ROLE_ANNONYMOUS,

授予对管理员和匿名用户的访问权限。

现在,属于客户组的用户只能访问url模式/**

一周热门 更多>