スプリングセキュリティは "？パラメータ"形式と一致できません。

Question

私は、ばねカンガルーことによってそれを学んでいるときに私は、私のウェブを確保するために、バネのセキュリティを使用するには<http>ノードでは、ApplicationContextの-のsecurity.xmlに設定ファイルを生成：

<intercept-url pattern="/userses?form" access="hasRole('ROLE_ADMIN')" /> 

作成するとき、それは意味しますUsersオブジェクトは、まずADMIN権限を得るためにログインする必要があります。しかし、実際には機能しませんでした。ログをチェックしてください：？文字列が一致しなかったとして、

2012-05-06 11:39:11,250 [http-8088-7] DEBUG org.springframework.security.web.util.AntPathRequestMatcher - Checking match of request : '/userses'; against '/userses?form' 

フレームワークは、/ usersesの代わりに/ usersesを使用して比較するために、フォーム認証プロセスをスキップ。これを確認するために、私はまた、別のURLを試してみてください。

<intercept-url pattern="/userses/abc" access="hasRole('ROLE_ADMIN')" /> 

私は/ userses/ABC要求し、それはユーザが許可されていない検出、およびへ/ログインページを移動し、ログを確認：だから

2012-05-06 11:46:44,343 [http-8088-7] DEBUG org.springframework.security.web.util.AntPathRequestMatcher - Checking match of request : '/uesrses/abc'; against '/userses/abc' 

私の質問は：春のセキュリティ3サポート "パラメータ"パターンか私はこれをサポートするために設定するために何かを逃したのですか？ PS：すべてのコードはrooによって修正されずに生成されますが、なぜ動作しないのか不思議です。

Answer 1

デフォルトでは、spring securityは、パラメータに一致しないantスタイルマッチングを使用します。正規表現のマッチングは、しかし、はパラメータ

上試合はそうのようにそれを定義してくださいすることができます：Rooのは、これを自動的に行いませんなぜ

<http request-matcher="regex"> 
    <security:intercept-url pattern="\A/userses\?form.*\Z" access="hasRole('ROLE_ADMIN')" /> 
</http> 

は知ってはいけません。それはすべきだと思われる。

Answer 2

この動作は、使用中の"request-matcher"によって定義されます。ドキュメントに示されているように、デフォルトは "ant"で、AntPathRequestMatcherを使用し、代替は "regex"、RegexRequestMatcherです。 javadocs（リンクされたもの）は、マッチャに関する詳細を提供します。マッチャはリクエストの "servletPath + pathInfo"と一致し、後者は "servletPath + pathInfo + queryString"と照合します。