IBM WebSphere 8.5.5.8（Liberty）+ Spring Security 3.1.3.RELEASE

Question

我们有一个基于appfuse入门套件2.2.1版的示例web应用程序，它使用Spring security 3.1.3.RELEASE。我们将在WAS 7上部署它，并且正在IBM WebSphere 8.5.5.8（Liberty）上进行测试。 我们的问题是成功/失败登录请求后，有些东西破坏了请求的servletPath值并将其设置为null。

（（HttpServletRequest的）请求）.getServletPath（）

这是当LocaleFilter尝试使用chain.doFilter为getServletPath（）/ j_security_check值做的时间和我们遇到：

异常由应用类抛出 'org.springframework.security.web.util.AntPathRequestMatcher.getRequestPath：116' 显示java.lang.NullPointerException： 在org.springframework.security.web.util.AntPathRequestMatche r.getRequestPath（AntPathRequestMatcher.java:116） at org.springframework.security.web.util.AntPathRequestMatcher.matches（AntPathRequestMatcher.java:100） at org.springframework.security.web.DefaultSecurityFilterChain.matches（DefaultSecurityFilterChain.java： 42） 在org.springframework.security.web.FilterChainProxy.getFilters（FilterChainProxy.java:203） 在org.springframework.security.web.FilterChainProxy.doFilterInternal（FilterChainProxy.java:176） 在org.springframework.security。 web.FilterChainProxy.doFilter（FilterChainProxy.java:160） 在org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate（DelegatingFilterProxy.java:346） 在org.springframework.web.filter.DelegatingFilterProxy.doFilter（DelegatingFilterProxy.java： 259） at com.i bm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter（FilterInstanceWrapper.java:207） 在[内部类]在 com.opensymphony.sitemesh.webapp.SiteMeshFilter.doFilter（SiteMeshFilter.java:59） 在com.ibm。 ws.webcontainer.filter.FilterInstanceWrapper.doFilter（FilterInstanceWrapper.java:207） 在[内部类]在 org.tuckey.web.filters.urlrewrite.NormalRewrittenUrl.doRewrite（NormalRewrittenUrl.java:213） 在org.tuckey。 web.filters.urlrewrite.RuleChain.handleRewrite（RuleChain.java:171） at org.tuckey.web.filters.urlrewrite.RuleChain.doRules（RuleChain.java:145） at org.tuckey.web.filters.urlrewrite。 UrlRewriter.processRequest（UrlRewriter.java:92） at org.tuckey.web.filters.urlrewrite.UrlRewriteFilter.doFilter （UrlRewriteFilter.java:394） 在com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter（FilterInstanceWrapper.java:207） 在[内部类]在 ir.dpi.webapp.filter.LocaleFilter.doFilterInternal（LocaleFilter的.java：67） 在org.springframework.web.filter.OncePerRequestFilter.doFilter（OncePerRequestFilter.java:76） 在com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter（FilterInstanceWrapper.java:207） 在[内部类]在 org.springframework.web.filter.CharacterEncodingFilter.doFilterInternal（CharacterEncodingFilter.java:88） 在org.springframework.web.filter.OncePerRequestFilter.doFilter（OncePerRequestFilter.java:76） 在com.ibm.ws .webcontainer.filter.FilterInstanceWrapper.doFilter（FilterIns tanceWrapper.java:207） 在[内部类]在 com.opensymphony.sitemesh.webapp.SiteMeshFilter.obtainContent（SiteMeshFilter.java:129） 在com.opensymphony.sitemesh.webapp.SiteMeshFilter.doFilter（SiteMeshFilter.java： 77） at com.ibm.ws.webcontainer.filter.FilterInstanceWrapper.doFilter（FilterInstanceWrapper。Java的：207）在[内部类]

这是我们的security.xml：

<?xml version="1.0" encoding="UTF-8"?> 
<beans:beans xmlns="http://www.springframework.org/schema/security" 
     xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" 
     xmlns:beans="http://www.springframework.org/schema/beans" xmlns:p="http://www.springframework.org/schema/p" 
     xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.0.xsd 
      http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> 

<http pattern="/images/**" security="none"/> 
<http pattern="/styles/**" security="none"/> 
<http pattern="/scripts/**" security="none"/> 

<http auto-config="false" create-session="always"> 
    <intercept-url pattern="/app/admin/**" access="ROLE_ADMIN"/> 
    <intercept-url pattern="/app/passwordHint*" access="ROLE_ANONYMOUS,ROLE_ADMIN,ROLE_USER"/> 
    <intercept-url pattern="/app/signup*" access="ROLE_ANONYMOUS,ROLE_ADMIN,ROLE_USER"/> 
    <intercept-url pattern="/app/**" access="ROLE_ADMIN,ROLE_USER"/> 
    <form-login login-page="/login" authentication-failure-url="/login?error=true" login-processing-url="/j_security_check"/> 
    <remember-me user-service-ref="userDao" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"/> 
</http> 

<authentication-manager > 
    <authentication-provider user-service-ref="userDao" > 
     <password-encoder ref="passwordEncoder" > 
      <salt-source ref="saltSource" /> 
     </password-encoder> 
    </authentication-provider> 
</authentication-manager> 

<beans:bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource" 
    p:userPropertyToUse="username"/> 


<global-method-security> 
    <protect-pointcut expression="execution(* *..service.UserManager.getUsers(..))" access="ROLE_ADMIN"/> 
    <protect-pointcut expression="execution(* *..service.UserManager.removeUser(..))" access="ROLE_ADMIN"/> 
</global-method-security> 
</beans:beans> 

任何帮助，将不胜感激。

Answer 1

我找到了解决方案，使用this code ranch topic。 AppFuse使用不同的过滤器（javax.servlet），WAS Wrapping机制对会话创建优先级敏感。所以我已经把web.xml文件中的Spring securityFilter映射向上移动了。

 <filter-mapping> 
     <filter-name>securityFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
     <dispatcher>REQUEST</dispatcher> 
     <dispatcher>FORWARD</dispatcher> 
     <dispatcher>INCLUDE</dispatcher> 
    </filter-mapping> 

    <filter-mapping> 
     <filter-name>sitemesh</filter-name> 
     <url-pattern>/*</url-pattern> 
     <dispatcher>REQUEST</dispatcher> 
     <dispatcher>FORWARD</dispatcher> 
    </filter-mapping> 

    <filter-mapping> 
     <filter-name>encodingFilter</filter-name> 
     <url-pattern>/*</url-pattern> 
    </filter-mapping> 
    ... 

现在登录过程完成。

请注意，这是至关重要的设置在自由server.xml中这些设置：

：

<httpSession cookieName="MY_LIBERTY_COOKIE" /> 
<basicRegistry /> 

的IBM WebSphere应用服务器（WAS全）中的等效设置中设置

会话管理 - >常规属性 - >启用cookies

此外，在WAS版本7（可能适用于其他版本）中，需要使用：

<http auto-config="false" disable-url-rewriting="true" create-session="always"> 

春天security.xml文件

。