问题描述:
框架使用的是SpringMVC、SpringSecurity,在做权限拦截的时候发现一个问题,假设对请求路径/user/detail进行了权限拦截,在访问/user/detail.abc的时候却能有权限访问
问题原因:
SpringMVC框架会将“/user/detail.abc”与RequestMapping中的“/user/detail”进行正则匹配,匹配规则为:/user/detail.*,因此请求进来时能将/user/detail.abc交给/user/detail的Controller进行处理
解决办法:
SpringMVC支持路径匹配规则,RequestMappingHandlerMapping类中有个useSuffixPatternMatch属性,通过该值判断是否需要进行结尾字符串的匹配。对应的xml配置为
<mvc:annotation-driven> <mvc:path-matching suffix-pattern="false" /> <!--如果没有该项配置,则默认为true--> </mvc:annotation-driven>
这样配置之后,你再通过“/user/detail.abc”来访问时,就会报404或405的错误了,从而达到权限拦截的目的
SpringMvc框架 解决在RESTFUL接口后加任意 “.xxx” 绕过权限的问题
原文:https://www.cnblogs.com/aligege/p/11544525.html