スプリングセキュリティ -/j_spring_security_checkへのディスパッチ

Question

私は春のセキュリティを確保しており、login.jspによるログインは完全に正常に動作します。

ここで、URLに基​​づいてログインしたユーザーを自動的に取得する必要があります（シングルサインオンに似ています）。基本的には暗号化されたコードであるURLにパスパラメータがあります。このコードを処理して自動ログインを行います。

私は"forward:/j_spring_security_check?j_username="+username+"&j_password="+password

をしています。これは、次のエラーでlogin.jspにするために私に指示し、このユーザー名に&パスワードを使用して、私は自分のユーザー名&パスワードを取得している使用して、有効なパスのparamを持っているかどうかを確認するために私のLoginControllerを修正していますYour login attempt was not successful, try again. Caused : Authentication method not supported: GET

私は"redirect:/j_spring_security_check?j_username="+username+"&j_password="+passwordでも試してみましたが、助けはありません。

コール/j_spring_security_checkにPOSTしかしforward: & redirect:はGETをやっているので、私は私のLoginControllerからPOSTとして/j_spring_security_checkする方法を派遣することができますか？

おかげ

Answer 1

/j_spring_security_check URLは、要求を処理するためにUsernamePasswordAuthenticationFilterにマップされています。

UsernamePasswordAuthenticationFilterでは、デフォルトでpostOnlyはtrueに設定されています。

postOnlyからfalseに変更されたspring-security.xmlの次の変更が行われました。

<filter-mapping> <filter-name>springSecurityFilterChain</filter-name> 
    <url-pattern>/*</url-pattern> 
    <dispatcher>REQUEST</dispatcher> 
    <dispatcher>FORWARD</dispatcher> 
</filter-mapping> 

Answer 2

代わりgetMethodのために「GET」の「POST」を返し、要求ラッパーを使用してチェックを回避できます。

ただし、理由によるチェックがあります。 URLパラメータとしてクレデンシャルを送信することは、一般に悪い習慣とみなされます。暗号化されたパラメータを使用していても、暗号化されていない認証資格情報を盗む人は誰でもそれを使用して認証することができるため、暗号化されていない認証資格情報を送信することと技術的には同じです。