码迷,mamicode.com
首页 > 编程语言 > 详细

SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题

时间:2019-09-18 19:20:11      阅读:126      评论:0      收藏:0      [点我收藏+]

标签:pat   问题   需要   request   权限   请求   user   ati   handler   

问题描述:

框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问

问题原因:

SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/user/detail.*,因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理

解决办法:

SpringMVC支持路径匹配规则,RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性,通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为

<mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />  <!--如果没有该项配置,则默认为true-->
  </mvc:annotation-driven>

这样配置之后,你再通过“/user/detail.abc”来访问时,就会报404或405的错误了,从而达到权限拦截的目的

SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题

标签:pat   问题   需要   request   权限   请求   user   ati   handler   

原文地址:https://www.cnblogs.com/aligege/p/11544525.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!