Q&A
jsやcssなどの静的リソースをブラウザから直接アクセスすることはできますか?
前提・実現したいこと
Spring boot2で画面のヘッダに表示させるログインユーザ名をInterceptorのpostHandleメソッドで取得したい。
発生している問題
まずSpringSecurityの設定を行いログイン機能の動作確認を行いました。
この時点ではログイン画面、ログイン後に遷移される画面でcssやjavascriptの読み込みは正常に行われていました。
次いでInterceptorの設定を試みたところ、ログイン画面でcssやjavascriptの読み込みが行われなくなり、
ログイン後の画面が真っ白な背景に
「{"timestamp":1570090424962,"status":999,"error":"None","message":"No message available"}」
とだけ表示されるようになりました。
(URLが「localhost:8080/コンテキスト/error」となっているため、ログイン自体正常に動作していなさそう?)
該当のソースコード
SpringSecurityの設定
Java
1@EnableWebSecurity 2public class SecurityConfig extends WebSecurityConfigurerAdapter { 3 @Override 4 public void configure(WebSecurity web) { 5 web.ignoring().mvcMatchers("/css/**", "/js/**"); 6 } 7 8 @Override 9 protected void configure(HttpSecurity http) throws Exception { 10 http.formLogin() 11 .loginPage("/login") 12 .permitAll(); 13 14 http.authorizeRequests() 15 .anyRequest() 16 .authenticated(); 17 18 http.logout() 19 .invalidateHttpSession(true) 20 .permitAll(); 21 } 22 23 @Bean 24 public PasswordEncoder passwordEncoder() { 25 return new BCryptPasswordEncoder(); 26 } 27}
Interceptorの設定
Java
1@Configuration 2public class InterceptorConfig extends WebMvcConfigurationSupport { 3 public UserInterseptor userInterceptor() { 4 return new UserInterseptor(); 5 } 6 7 @Override 8 protected void addInterceptors(InterceptorRegistry registry) { 9 registry.addInterceptor(userInterceptor()); 10 } 11}
Interceptorの処理
Java
1public class UserInterseptor implements HandlerInterceptor { 2 @Override 3 public void postHandle(HttpServletRequest request, HttpServletResponse response, 4 Object handler, ModelAndView modelAndView) throws Exception { 5 if (modelAndView != null && !isRedirectView(modelAndView)) { 6 if (isUserLogged()) { 7 addToModelUserDetails(modelAndView); 8 } 9 } 10 } 11 12 public static boolean isRedirectView(ModelAndView mv) { 13 String viewName = mv.getViewName(); 14 if (viewName.startsWith("redirect:/")) { 15 return true; 16 } 17 View view = mv.getView(); 18 return (view != null && view instanceof SmartView && ((SmartView) view).isRedirectView()); 19 } 20 21 public static boolean isUserLogged() { 22 try { 23 return !SecurityContextHolder.getContext().getAuthentication().getName().equals("anonymousUser"); 24 } catch (Exception e) { 25 return false; 26 } 27 } 28 29 private void addToModelUserDetails(ModelAndView model) { 30 String loggedUsername = SecurityContextHolder.getContext().getAuthentication().getName(); 31 model.addObject("loggedUsername", loggedUsername); 32 } 33}
試したこと
・SecurityConfigクラスのhttp.authorizeRequests()メソッドに.antMatchers("/resources/**").permitAll()を追加
・InterceptorConfigクラスのaddInterceptors(InterceptorRegistry registry)の内容をregistry.addInterceptor(userInterceptor()).addPathPatterns("/static/*");に変更
・InterceptorConfigクラスに以下を追加
@Override protected void addResourceHandlers(ResourceHandlerRegistry registry) { registry.addResourceHandler("/static/**").addResourceLocations("classpath:/static/"); }
補足情報(FW/ツールのバージョンなど)
Pleiades2019-06
Spring Boot 2.2.0 Build-SNAPSHOT
Java 1.8
ブラウザはChromeを使用していますが、ソースの表示からjsやcssのリンクをクリックすると新しいタブで再度ログイン画面が開かれてしまいます。
質問内容に記載のUserInterseptorはコード全文でしょうか? それともコメントの『ログインユーザの取得してModelAndViewにセットする処理』が省略されているのでしょうか?
省略されている場合、できる範囲でコードを記載することは可能ですか?
コードは省略していたので追記しました。
内容は公式リファレンスに載っていた内容とに沿って実装したものです。
回答1件
0
ベストアンサー
InterceptorConfigの実装を下記のようにしてみてください。
Java
1import org.springframework.context.annotation.Configuration; 2import org.springframework.web.servlet.config.annotation.InterceptorRegistry; 3import org.springframework.web.servlet.config.annotation.WebMvcConfigurer; 4 5@Configuration 6public class InterceptorConfig implements WebMvcConfigurer { 7 8 @Override 9 public void addInterceptors(InterceptorRegistry registry) { 10 registry.addInterceptor(new UserInterseptor()); 11 } 12 13}
ちなみにこの実装だと静的リソースに対するリクエストでもインターセプターが実行されます。除外したい場合は、excludePathPatternsメソッドで除外するパスを指定できます。
java
1registry.addInterceptor(new UserInterseptor()).excludePathPatterns("/css/**", "/js/**");
それからインターセプターの中で以下のようにモデルにloggedUsernameをセットしていますが、
java
1model.addObject("loggedUsername", loggedUsername);
この情報をコントローラのハンドラメソッドで受け取りたい場合はpostHandleではなくpreHandleをオーバーライドする必要があると思います。
また、ご存知かもしれませんがハンドラメソッドで認証情報を受け取る方法には
HttpServletRequest.getUserPrincipal()を使う方法や
java
1Authentication auth = httpServletRequest.getUserPrincipal(); 2// assume integrated custom UserDetails called MyCustomUserDetails 3// by default, typically instance of UserDetails 4MyCustomUserDetails userDetails = (MyCustomUserDetails) auth.getPrincipal();
@AuthenticationPrincipalを使う方法もあります。
java
1@RequestMapping("/messages/inbox") 2public ModelAndView findMessagesForUser(@AuthenticationPrincipal CustomUser customUser) { 3 4}
投稿2019/10/06 13:19
総合スコア1752
ありがとうございます。
無事、cssとjsが反映されていることを確認できました!
Springの初学者なので大変参考になりました。
よろしければ、WebMvcConfigurerとWebSecurityConfigurerAdapterの違い(なぜ前者でなければいけなかったのか)の方もご教示いただければと思います。
宜しくお願い致します。
> WebMvcConfigurerとWebSecurityConfigurerAdapterの違い(なぜ前者でなければいけなかったのか)
私も他人に教えられるほど詳しく知らないのですが、わかる範囲でお答えいたします。(※お聞きになりたいのは、WebMvcConfigurerとWebMvcConfigurationSupportの違いではないですか?)
■WebMvcConfigurerとWebSecurityConfigurerAdapterの違いについて
■■WebMvcConfigurer
WebMvcConfigurerインターフェース(Spring Boot 1.5.xまではWebMvcConfigurerAdapterクラス)は、
Spring Bootの自動コンフィグレーションを使ったMVCをカスタマイズする場合に利用します。
つまりインターセプターやフィルターなどを追加したい場合は、WebMvcConfigurerを使ってカスタマイズするのが一般的です。
29.1.1 Spring MVC Auto-configuration
https://docs.spring.io/spring-boot/docs/current/reference/htmlsingle/#boot-features-spring-mvc-auto-configuration
> If you want to keep Spring Boot MVC features and you want to add additional MVC configuration (interceptors, formatters, view controllers, and other features), you can add your own @Configuration class of type WebMvcConfigurer but without @EnableWebMvc.
> Spring Boot MVC機能を保持し、追加のMVC構成(インターセプター、フォーマッター、View Controller、およびその他の機能)を追加する場合、WebMvcConfigurer型の独自の@Configurationクラスを追加できますが、@ EnableWebMvcは使用できません。
(訳文はGoogle翻訳です。)
■■WebSecurityConfigurerAdapter
Spring BootでSpring Securityを利用する場合も自動コンフィグレーションが行われます。(つまりデフォルトの設定が存在する)
この設定をカスタマイズするには、WebSecurityConfigurerAdapterインタフェースをimplementsしたコンフィグレーションクラスを実装することになります。
30.1 MVC Security
https://docs.spring.io/spring-boot/docs/current/reference/htmlsingle/#boot-features-security-mvc
> The default security configuration is implemented in SecurityAutoConfiguration and UserDetailsServiceAutoConfiguration. SecurityAutoConfiguration imports SpringBootWebSecurityConfiguration for web security and UserDetailsServiceAutoConfiguration configures authentication, which is also relevant in non-web applications.
> デフォルトのセキュリティ構成は、SecurityAutoConfigurationおよびUserDetailsServiceAutoConfigurationに実装されています。 SecurityAutoConfigurationはWebセキュリティのためにSpringBootWebSecurityConfigurationをインポートし、UserDetailsServiceAutoConfigurationは認証を構成します。これはWeb以外のアプリケーションにも関連します。
> Access rules can be overridden by adding a custom WebSecurityConfigurerAdapter.
> カスタムWebSecurityConfigurerAdapterを追加することにより、アクセスルールをオーバーライドできます。
(訳文はGoogle翻訳です。)
■WebMvcConfigurationSupportでは期待通りに動かなかった理由
上記で述べた通り、Spring BootではMVCの拡張にWebMvcConfigurerインタフェースが用意されています。通常はこのインターフェースを実装したコンフィグレーションクラスでカスタマイズを行います。
この方法を取らずに直接WebMvcConfigurationSupportクラスを継承してカスタマイズすると、恐らくですがSpring Bootの自動コンフィグレーションが無効化されてしまうのだと思います。
ただし、WebMvcConfigurationSupportを継承してすべてのメソッドをオーバーライドすれば期待通りの動作をさせることは可能かもしれません。
疑問に対する回答は以上になりますが、腑に落ちない部分はご自身でお調べください。
日本語の情報では以下のサイトが分かりやすいかと思います。
Spring MVC(+Spring Boot)上でのリクエスト共通処理の実装方法を理解する
https://qiita.com/kazuki43zoo/items/757b557c05f548c6c5db
Spring BootでのWebMvcのJavaコンフィグレーション
https://debug-life.net/entry/2980
Spring Web MVCのAuto Configuration周辺のクラス図を描いてみた
https://tosi-tech.net/2018/09/class-diagram-of-spring-web-mvc-with-spring-boot/
>※お聞きになりたいのは、WebMvcConfigurerとWebMvcConfigurationSupportの違いではないですか
その通りです、誤字失礼しました。
丁寧にご解説いただきありがとうございました!
参考サイトも活用させていただきます。
また何かあった際は宜しくお願い致します。
あなたの回答
tips
プレビュー
