spring mvc url匹配禁用后缀访问操作

来自：网络

时间：2021-08-09

阅读：

spring mvc url匹配禁用后缀访问

在spring mvc中默认访问url 加任意后缀名都能访问

比如：你想访问 /login ，但是通过 /login.do /login.action /login.json 都能访问

通常来说可能没有影响，但对于权限控制，这就严重了。

权限控制通常有两种思路：

1）弱权限控制

允许所有url通过，仅对个别重要的url做权限控制。此种方式比较简单，不需要对所有url资源进行配置，只配置重要的资源。

2）强权限控制

默认禁止所有url请求通过，仅开放授权的资源。此种方式对所有的url资源进行控制。在系统种需要整理所有的请求，或者某一目录下所有的url资源。这种方式安全控制比较严格，操作麻烦，但相对安全。

如果用第二种方式，则上面spring mvc的访问策略对安全没有影响。

但如果用第一种安全策略，则会有很大的安全风险。

例如：我们控制了/login 的访问，但是我们默认除/login的资源不受权限控制约束，那么攻击者就可以用 /login.do /login.xxx 来访问我们的资源。

在spring 3.1之后，url找对应方法的处理步骤，第一步，直接调用RequestMappingHandlerMapping查找到相应的处理方法，第二步，调用RequestMappingHandlerAdapter进行处理

我们在RequestMappingHandlerMapping中可以看到

/**
 * Whether to use suffix pattern match for registered file extensions only
 * when matching patterns to requests.
 * <p>If enabled, a controller method mapped to "/users" also matches to
 * "/users.json" assuming ".json" is a file extension registered with the
 * provided {@link #setContentNegotiationManager(ContentNegotiationManager)
 * contentNegotiationManager}. This can be useful for allowing only specific
 * URL extensions to be used as well as in cases where a "." in the URL path
 * can lead to ambiguous interpretation of path variable content, (e.g. given
 * "/users/{user}" and incoming URLs such as "/users/john.j.joe" and
 * "/users/john.j.joe.json").
 * <p>If enabled, this flag also enables
 * {@link #setUseSuffixPatternMatch(boolean) useSuffixPatternMatch}. The
 * default value is {@code false}.
 */
public void setUseRegisteredSuffixPatternMatch(boolean useRegisteredSuffixPatternMatch) {
   this.useRegisteredSuffixPatternMatch = useRegisteredSuffixPatternMatch;
   this.useSuffixPatternMatch = (useRegisteredSuffixPatternMatch || this.useSuffixPatternMatch);
}

那么如何来配置呢？

  <mvc:annotation-driven>
    <mvc:path-matching suffix-pattern="false" />
  </mvc:annotation-driven>

在匹配模式时是否使用后缀模式匹配，默认值为true。这样你想访问 /login ，通过 /login.* 就不能访问了。

spring mvc 之请求url 带后缀的情况

RequestMappingInfoHandlerMapping 在处理http请求的时候，如果请求url 有后缀，如果找不到精确匹配的那个@RequestMapping方法。

那么，就把后缀去掉，然后.* 去匹配，这样，一般都可以匹配。比如有一个@RequestMapping("/rest"), 那么精确匹配的情况下，只会匹配/rest请求。

但如果我前端发来一个 /rest.abcdef 这样的请求，又没有配置 @RequestMapping("/rest.abcdef") 这样映射的情况下，那么@RequestMapping("/rest") 就会生效。

原理呢？处理链是这样的：

at org.springframework.web.servlet.mvc.condition.PatternsRequestCondition.getMatchingPattern(PatternsRequestCondition.java:254)
at org.springframework.web.servlet.mvc.condition.PatternsRequestCondition.getMatchingPatterns(PatternsRequestCondition.java:230)
at org.springframework.web.servlet.mvc.condition.PatternsRequestCondition.getMatchingCondition(PatternsRequestCondition.java:210)
at org.springframework.web.servlet.mvc.method.RequestMappingInfo.getMatchingCondition(RequestMappingInfo.java:214)
at org.springframework.web.servlet.mvc.method.RequestMappingInfoHandlerMapping.getMatchingMapping(RequestMappingInfoHandlerMapping.java:79)
at org.springframework.web.servlet.mvc.method.RequestMappingInfoHandlerMapping.getMatchingMapping(RequestMappingInfoHandlerMapping.java:56)
at org.springframework.web.servlet.handler.AbstractHandlerMethodMapping.addMatchingMappings(AbstractHandlerMethodMapping.java:358)
at org.springframework.web.servlet.handler.AbstractHandlerMethodMapping.lookupHandlerMethod(AbstractHandlerMethodMapping.java:328)
at org.springframework.web.servlet.handler.AbstractHandlerMethodMapping.getHandlerInternal(AbstractHandlerMethodMapping.java:299)
at org.springframework.web.servlet.handler.AbstractHandlerMethodMapping.getHandlerInternal(AbstractHandlerMethodMapping.java:57)
at org.springframework.web.servlet.handler.AbstractHandlerMapping.getHandler(AbstractHandlerMapping.java:299)
at org.springframework.web.servlet.DispatcherServlet.getHandler(DispatcherServlet.java:1104)
at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:916)

关键是PatternsRequestCondition，具体来说是这个方法：

AbstractHandlerMethodMapping 的getHandlerInternal：
    protected HandlerMethod getHandlerInternal(HttpServletRequest request) throws Exception {
        String lookupPath = this.getUrlPathHelper().getLookupPathForRequest(request);
        if (this.logger.isDebugEnabled()) {
            this.logger.debug("Looking up handler method for path " + lookupPath);
        }
        HandlerMethod handlerMethod = this.lookupHandlerMethod(lookupPath, request);// 这里是关键，它去寻找，找到了就找到了，找不到就不会再去寻找了
        if (this.logger.isDebugEnabled()) {
            if (handlerMethod != null) {
                this.logger.debug("Returning handler method [" + handlerMethod + "]");
            } else {
                this.logger.debug("Did not find handler method for [" + lookupPath + "]");
            }
        }
        return handlerMethod != null ? handlerMethod.createWithResolvedBean() : null;
    }
    
    
    protected HandlerMethod lookupHandlerMethod(String lookupPath, HttpServletRequest request) throws Exception {
        List<AbstractHandlerMethodMapping<T>.Match> matches = new ArrayList();
        List<T> directPathMatches = (List)this.urlMap.get(lookupPath); // directPathMatches， 直接匹配， 也可以说是 精确匹配
        if (directPathMatches != null) {
            this.addMatchingMappings(directPathMatches, matches, request);// 如果能够精确匹配， 就会进来这里
        }
        if (matches.isEmpty()) {
            this.addMatchingMappings(this.handlerMethods.keySet(), matches, request);// 如果无法精确匹配， 就会进来这里
        }
        if (!matches.isEmpty()) {
            Comparator<AbstractHandlerMethodMapping<T>.Match> comparator = new AbstractHandlerMethodMapping.MatchComparator(this.getMappingComparator(request));
            Collections.sort(matches, comparator);
            if (this.logger.isTraceEnabled()) {
                this.logger.trace("Found " + matches.size() + " matching mapping(s) for [" + lookupPath + "] : " + matches);
            }
            AbstractHandlerMethodMapping<T>.Match bestMatch = (AbstractHandlerMethodMapping.Match)matches.get(0);
            if (matches.size() > 1) {
                AbstractHandlerMethodMapping<T>.Match secondBestMatch = (AbstractHandlerMethodMapping.Match)matches.get(1);
                if (comparator.compare(bestMatch, secondBestMatch) == 0) {
                    Method m1 = bestMatch.handlerMethod.getMethod();
                    Method m2 = secondBestMatch.handlerMethod.getMethod();
                    throw new IllegalStateException("Ambiguous handler methods mapped for HTTP path '" + request.getRequestURL() + "': {" + m1 + ", " + m2 + "}");
                }
            }
            this.handleMatch(bestMatch.mapping, lookupPath, request);
            return bestMatch.handlerMethod;
        } else {
            return this.handleNoMatch(this.handlerMethods.keySet(), lookupPath, request);
        }
    }
    
    public List<String> getMatchingPatterns(String lookupPath) {
        List<String> matches = new ArrayList();
        Iterator var3 = this.patterns.iterator();
        while(var3.hasNext()) {
            String pattern = (String)var3.next(); // pattern 是 @RequestMapping 提供的映射
            String match = this.getMatchingPattern(pattern, lookupPath); //  lookupPath + .*  后能够匹配pattern， 那么就不为空
            if (match != null) {
                matches.add(match);// 对于有后缀的情况， .* 后
            }
        }
        Collections.sort(matches, this.pathMatcher.getPatternComparator(lookupPath));
        return matches;
    }
    最关键是这里 getMatchingPatterns ：
    private String getMatchingPattern(String pattern, String lookupPath) {
        if (pattern.equals(lookupPath)) {
            return pattern;
        } else {
            if (this.useSuffixPatternMatch) {
                if (!this.fileExtensions.isEmpty() && lookupPath.indexOf(46) != -1) {
                    Iterator var5 = this.fileExtensions.iterator();
                    while(var5.hasNext()) {
                        String extension = (String)var5.next();
                        if (this.pathMatcher.match(pattern + extension, lookupPath)) {
                            return pattern + extension;
                        }
                    }
                } else {
                    boolean hasSuffix = pattern.indexOf(46) != -1;
                    if (!hasSuffix && this.pathMatcher.match(pattern + ".*", lookupPath)) {
                        return pattern + ".*"; // 关键是这里
                    }
                }
            }
            if (this.pathMatcher.match(pattern, lookupPath)) {
                return pattern;
            } else {
                return this.useTrailingSlashMatch && !pattern.endsWith("/") && this.pathMatcher.match(pattern + "/", lookupPath) ? pattern + "/" : null;
            }
        }
    }

而对于AbstractUrlHandlerMapping ，匹配不上就是匹配不上，不会进行 +.* 后在匹配。

关键方法是这个：

protected Object lookupHandler(String urlPath, HttpServletRequest request) throws Exception {
        Object handler = this.handlerMap.get(urlPath);
        if (handler != null) {
            if (handler instanceof String) {
                String handlerName = (String)handler;
                handler = this.getApplicationContext().getBean(handlerName);
            }
            this.validateHandler(handler, request);
            return this.buildPathExposingHandler(handler, urlPath, urlPath, (Map)null);
        } else {
            List<String> matchingPatterns = new ArrayList();
            Iterator var5 = this.handlerMap.keySet().iterator();
            while(var5.hasNext()) {
                String registeredPattern = (String)var5.next();
                if (this.getPathMatcher().match(registeredPattern, urlPath)) {
                    matchingPatterns.add(registeredPattern);
                }
            }
            String bestPatternMatch = null;
            Comparator<String> patternComparator = this.getPathMatcher().getPatternComparator(urlPath);
            if (!matchingPatterns.isEmpty()) {
                Collections.sort(matchingPatterns, patternComparator);
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("Matching patterns for request [" + urlPath + "] are " + matchingPatterns);
                }
                bestPatternMatch = (String)matchingPatterns.get(0);
            }
            if (bestPatternMatch != null) {
                handler = this.handlerMap.get(bestPatternMatch);
                String pathWithinMapping;
                if (handler instanceof String) {
                    pathWithinMapping = (String)handler;
                    handler = this.getApplicationContext().getBean(pathWithinMapping);
                }
                this.validateHandler(handler, request);
                pathWithinMapping = this.getPathMatcher().extractPathWithinPattern(bestPatternMatch, urlPath);
                Map<String, String> uriTemplateVariables = new LinkedHashMap();
                Iterator var9 = matchingPatterns.iterator();
                while(var9.hasNext()) {
                    String matchingPattern = (String)var9.next();
                    if (patternComparator.compare(bestPatternMatch, matchingPattern) == 0) {
                        Map<String, String> vars = this.getPathMatcher().extractUriTemplateVariables(matchingPattern, urlPath);
                        Map<String, String> decodedVars = this.getUrlPathHelper().decodePathVariables(request, vars);
                        uriTemplateVariables.putAll(decodedVars);
                    }
                }
                if (this.logger.isDebugEnabled()) {
                    this.logger.debug("URI Template variables for request [" + urlPath + "] are " + uriTemplateVariables);
                }
                return this.buildPathExposingHandler(handler, bestPatternMatch, pathWithinMapping, uriTemplateVariables);
            } else {
                return null;
            }
        }
    }

当然，或许我们可以设置自定义的PathMatcher ，从而到达目的。默认的是AntPathMatcher 。

以上为个人经验，希望能给大家一个参考，也希望大家多多支持。

目录 mybatis resultType自带数据类型别名定义了一些常见类的别名整理成表格总结 mybatis resultType自带数据类型别名为了简化开发，mybatis 默认在 org.apache.ibat

2024-10-20 21:52:35

目录 1. 引言 2. 核心代码解析 2.1 POM依赖 2.2 SpringBoot启动类注解 2.3 核心代码总结 3. Spring 注解说明 3.1 @Retryable注解 3.2 @Backoff注解 4. 如何使用

2024-10-20 21:52:26

目录 Spring Boot API 中的速率限制步骤 1 - 定义速率限制配置步骤 2 - 创建速率限制方面步骤 3 — 定义 RateLimited 注释步骤 4 - 实施速率限制器步骤 5

2024-10-20 21:52:18

目录引言 1. 使用 Spring Boot 默认的 Logback 日志框架步骤： 2. 使用 Log4j2 日志框架步骤： 3. 在代码中使用日志 4.使用lombok.extern.slf4j.Slf4j 1.基本使用

2024-10-20 21:52:11

目录前言 1.方法一：反射获取线程池中的线程列表 2.方法二：使用Thread.getAllStackTraces() 3.方法三：使用ThreadPoolExecutor的getCompletedTaskCount()和getActiveCount()等

2024-10-20 21:52:03

目录一、使用 @Scheduled 注解二、使用 SchedulingConfigurer 接口三、使用 TaskScheduler 四、使用 Quartz 实现定时任务一、使用 @Scheduled 注解@Scheduled 是 Spring

2024-10-20 21:51:49

目录引言一、问题描述： 1.1 报错示例： 1.2 报错分析： 1.3 解决思路：二、解决方法： 2.1 方法一： 2.2 方法二： 2.3 方法三： 2.4 方法四：三、其他解决方法：四、总结：

2024-10-20 21:51:41

目录 SpringBoot项目启动报错：命令行太长解决 1. 第一种方法 1. 第二种方法 1-1 旧版本Idea 1-2 新版本Idea SpringBoot项目启动报错：命令行太长解决报错信息：1. 第

2024-10-20 21:51:32

目录前言一、Spring Boot 日志框架概述 1.1 Spring Boot 支持的日志框架 1.2 Spring Boot 默认日志配置二、日志框架冲突问题 2.1 问题描述 2.2 解决方案 2.3 检

2024-10-20 21:51:18

目录前言一、Maven 简介二、为什么需要手动添加 JAR 文件？三、Maven 本地仓库位置如何确认本地仓库位置？四、创建必要的目录结构创建目录结构的步骤：五、创建 PO

2024-10-20 21:51:10

目录什么是职责链模式？职责链模式在电商订单流程中的应用 POM 文件配置具体处理器实现控制器接口优化前端界面及 jQuery 调用 JSON 接口总结在电商系统中，订单的处理流

2024-10-18 23:26:01

目录 1.生成war包 1.1 更改pom包 1.2 编写类 1.3 将war包使用 tomcat 解压为文件夹 1.生成war包1.1 更改pom包打开一个springboot 项目，右击项目名从项目管理器打开在po

2024-10-18 23:25:45

数据库表中的字段创建时间 (createTime) 更新时间 (updateTime)每次增删改查的时候，需要通过对Entity的字段（createTime，updateTime）进行set设置，但是，每次增删改都要set设置比

2024-10-18 23:25:25

目录主键策略 1、AUTO(自动增长策略) 2、INPUT(插入前自行设置主键值) 3、ASSING_ID(雪花算法) 4、ASSING_UUID(不含中划线的UUID) 5、NONE(无状态) 雪花算法算

2024-10-18 23:25:12

目录第一个Hystrix程序步骤1：创建父工程hystrix-1 步骤2：改造服务提供者步骤3：改造服务消费者为Hystrix客户端（1）添加Hystrix依赖（2）添加@EnableHystrix注解（3）创

2024-10-18 23:24:58

目录 Config与Bus整合自动刷新步骤1：安装RabbitMQ并启动 RabbitMQ的安装步骤2：创建项目创建Eureka Server 创建config-server 步骤3：添加依赖修改配置文件步骤4：Co

2024-10-18 23:24:27

目录 1. 前言 2. 注册 2.1. 手机验证码注册流程 2.2. 代码实现（仅核心） 3. 登录 3.1. 手机验证码登录流程 3.2. 涉及到的Spring Security组件 3.3. 代码实现（仅核心）

2024-10-18 23:23:50

目录 Java中重写和重载的区别方法重载的规则方法重写的规则总结 Java中重写和重载的区别其实java中的重写和重载没有任何关系，只是因为都有个重字，有些小白就会对这两

2024-10-18 23:23:37

目录 1. 什么是 Spring Web MVC 1.1 MVC 定义 1.2 什么是 Spring MVC 2. 学习 Spring MVC 2.1 项目准备 2.2 建立连接 1. 什么是 Spring Web MVCSpring Web MVC 是基

2024-10-18 23:23:29

目录 springBoot跨域注解@CrossOrigin用法在controller控制类上方加注解 spring注解@CrossOrigin不起作用的原因总结 springBoot跨域注解@CrossOrigin用法Spring Fra

2024-10-18 23:23:14

目录 1. 找到自动生成的pom.xml文件 2.添加servlet依赖 3.别眨眼，你已经搞定了！ 4.就可以右键新建Servlet 总结 IDEA版本2021右键新建没有servlet?在pom.xml文件中需要导入ser

2024-10-14 19:56:52

目录问题解决步骤：找到File->Project Structure... 设置SDK 设置SDKs 问题刚刚在使用IDEA专业版创建好SpringBoot项目后，发现上方导航栏的运行按钮是灰色的，而且左侧导

2024-10-14 19:56:37

实现flex的分页查询需要去维护一个对应的获取数据库总数的方法，下面会对有无该方法进行一个比较实现文件主要以下几个类，注意UserMapper.xml的位置，默认是扫描resources下的map

2024-10-14 19:56:23

目录在编译项目的时候出现报错：解决办法： 1、无效的源发行版 2、IDEA 报错，java无效的目标发行版：22 无效的目标发行版总结在编译项目的时候出现报错：解决办法：1、无效

2024-10-14 19:56:09

目录 1、目的 2、实现 2-1、导入MyBatis-Flex和ShardingSphere-JDBC的相关依赖 2-2、配置初始化的数据库连接用来加载配置，当然用配置中心来保存初始化数据的配置 2-3、

2024-10-14 19:55:50

前端发送请求后，会请求DeptController的方法list()。package com.intelligent_learning_aid_system.controller;import com.intelligent_learning_aid_system.pojo.Dept;impo

2024-10-14 19:55:31

Java 函数式编程中 try-catch 块的替代方案在 Java 函数式编程中，传统意义上的 try-catch 块并不是必不可少的。函数式编程强调代码的不可变性和纯净性，这意味着我们不希望函

2024-09-17 21:25:34

Java 函数参数可以定义多个类型吗？在 Java 中，函数的参数可以定义多个类型，这称为方法重载。通过方法重载，可以创建具有相同名称但接受不同参数类型的多个函数版本。语法<return

2024-09-17 21:23:26

如何在 Java 中使用 lambda 表达式实现接口方法Java 8 引入了 lambda 表达式，它提供了简洁且方便的方法来实现接口方法。lambda 表达式是一种匿名函数，它可以用来替换实现接口

2024-09-17 21:22:43

在 java 中，函数的返回值类型指定函数返回的值的类型，位于函数签名中函数名之前。例如，getgreeting 函数返回一个字符串 string getgreeting() { return "hello!"; }。返回值类

2024-09-10 22:37:27

2021-02-06

2020-09-18

2020-12-12

2020-05-05

2020-11-20

2021-01-09

2020-09-25

2021-02-06

2021-03-07

2020-09-27

spring mvc url匹配禁用后缀访问操作

spring mvc url匹配禁用后缀访问

权限控制通常有两种思路：

1）弱权限控制

2）强权限控制

spring mvc 之 请求url 带后缀的情况

原理呢？处理链是这样的：

关键是PatternsRequestCondition， 具体来说是这个方法：

关键方法是这个：

热点内容

免费资源网

在线工具

扫一扫随时看

本站下载频道

spring mvc 之请求url 带后缀的情况

关键是PatternsRequestCondition，具体来说是这个方法：