Почему spring security не пропускает некоторые запросы?

Question

parkito @parkito

Java
Spring

Почему spring security не пропускает некоторые запросы?

Здравствуйте. Помогите, пожалуйста, решить проблему.
Настроен Spring security

<http realm="JavaStudy example" use-expressions="false"
          authentication-manager-ref="dao-auth"
          access-decision-manager-ref="accessDecisionManager">
        <intercept-url pattern="/admin**" access="Manager"/>
        <intercept-url pattern="/user**" access="userAvailable"/>
        <!--<intercept-url pattern="/admin/admin**" access="Manager"/>-->
        <!--<intercept-url pattern="/user/user**" access="userAvailable"/>-->
        <form-login login-page="/login" authentication-failure-url="/login-denied"
                    username-parameter="username" password-parameter="password"
                    default-target-url="/main"/>
        <logout invalidate-session="true" logout-success-url="/"
                logout-url="/"/>
        <access-denied-handler error-page="/denied"/>
        <session-management invalid-session-url="/">
            <concurrency-control max-sessions="1"
                                 expired-url="/login"/>
        </session-management>
        <!--remember me-->
        <remember-me token-validity-seconds="1209600"
                     remember-me-parameter="remember-me"
                     user-service-ref="userDetailsService"/>
    </http>

Есть два сервлета

@RequestMapping(value = "/userNumberOperations", method = RequestMethod.GET)
    public String userNumberOperations(HttpServletRequest request, Locale locale, Model model) {
        User user = (User) request.getSession().getAttribute("currentUser");
        model.addAttribute("contracts", contractService.getAllContractsForUser(user.getUserId()));
        return "user/userNumberOperations";
    }

И точно такой же, но с другим методом реквеста

@RequestMapping(value = "/userNumberOperations", method = RequestMethod.POST)
    public String userNumberOperations(HttpServletRequest request, Locale locale, Model model) {
        User user = (User) request.getSession().getAttribute("currentUser");
        model.addAttribute("contracts", contractService.getAllContractsForUser(user.getUserId()));
        return "user/userNumberOperations";
    }

Spring пускает на первый сервлет. Но когда со страницы через ajax

var xhr = new XMLHttpRequest();
                                xhr.open("POST", "userNumberOperations, false);
                                xhr.send();

пытаюсь вызвать второй, security отвергает запрос и посылает меня на страницу /denied.
Почему он это делает?

Вопрос задан более трёх лет назад
377 просмотров

Комментировать

Подписаться 1 Оценить Комментировать

Пригласить эксперта

Ответы на вопрос 1

6 комментариев

parkito @parkito Автор вопроса

Подскажите, как это правильно сделать.

Написано более трёх лет назад
parkito @parkito Автор вопроса

Чтобы spring автоматически понимал

Написано более трёх лет назад
aol-nnov @aol-nnov

parkito:
расчехляй гугл
xmlhttprequest add authorization header
xmlhttprequest add cookies
xmlhttprequest add header access-control-allow-origin

конкретное решение зависит от настроек твоего приложения.

Написано более трёх лет назад
parkito @parkito Автор вопроса

aol-nnov: - отключил. Теперь на части страниц запросы заработали, а на части нет. С чем это может быть связано?

Написано более трёх лет назад
aol-nnov @aol-nnov

parkito: чего ты отключил? логи смотри.. телепаты же в отпуске!

Написано более трёх лет назад
parkito @parkito Автор вопроса

aol-nnov: csrf. Не вставилось в прошлом сообщении.

Написано более трёх лет назад