Spring framework (mvc) + spring security

Olá amigos

Tenho uma aplicação com spring framework + spring security. Contudo pela especificação de boas práticas do spring framework, recomenda-se que todas as páginas do antigo WebContent fiquem em WEB-INF/pages/ para não liberar o acesso direto.

O problema é que aparentemente o spring security “desconhece” isso e sempre após uma autenticação ele vai buscar as páginas no diretório padrão WebContent do webserver - resultando em erro 404. Páginas que tem controle de acesso e que estão no WebContent abrem normalmente após login.

Alguém sabe alguma maneira de integrar ambos de forma harmoniosa ?
Existe algum detalhe de configuração de applicationContext.xml ou web.xml para este caso ?

Obrigado

Você configurou o view-resolver de forma correta?

<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver"> <property name="prefix" value="/WEB-INF/pages/" /> <property name="suffix" value=".jsp" /> </bean>

Obrigado pela resposta !

Sim, segue arquivo abaixo

<?xml version="1.0" encoding="UTF-8"?>
	
	<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:sec="http://www.springframework.org/schema/security"
	xmlns:context="http://www.springframework.org/schema/context"
	xmlns:mvc="http://www.springframework.org/schema/mvc"
	
	xsi:schemaLocation="http://www.springframework.org/schema/beans 
	http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
	
	http://www.springframework.org/schema/context 
	http://www.springframework.org/schema/context/spring-context-3.0.xsd
	http://www.springframework.org/schema/mvc 
	http://www.springframework.org/schema/mvc/spring-mvc-3.0.xsd
	http://www.springframework.org/schema/security 
	http://www.springframework.org/schema/security/spring-security-3.0.3.xsd">
	
	<bean id="dataSource" class="org.springframework.jdbc.datasource.DriverManagerDataSource">
        <property name="driverClassName" value="org.postgresql.Driver" />
	<property name="url" value="jdbc:postgresql://localhost/springdatabase" />
	<property name="username" value="postgres" />
	<property name="password" value="password" />
       </bean>
    
    <sec:http auto-config="true" access-denied-page="/denied.jsp">
    <sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp?error=invalid" />
    <sec:intercept-url pattern="/test/**" access="ROLE_ADMIN" />
    <sec:intercept-url pattern="/WEB-INF/pages/**" access="ROLE_ADMIN" />

    </sec:http>
    	
	<sec:authentication-manager>
    <sec:authentication-provider>
    <sec:password-encoder hash="md5"/>
    <sec:jdbc-user-service data-source-ref="dataSource"
    users-by-username-query="SELECT username, password, 'true' as enable FROM users WHERE username=?"
    authorities-by-username-query="SELECT username, authority FROM users WHERE username=?" />
    </sec:authentication-provider>
	</sec:authentication-manager>	
	
	<context:component-scan base-package="br.com.springsecuruty.security"/>
	
	<bean id="validator" class="org.springframework.validation.beanvalidation.LocalValidatorFactoryBean" />
	
	<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
	<property name="prefix" value="/WEB-INF/pages/"/>
	<property name="suffix" value=".jsp"/>
	
	</bean>

</beans>

parece estar tudo certo. que página está tentando acessar?
está tentando acessar direto pelo browser ou direcionar a partir de um controller?

pelo controller via browser - antes de incluir o spring security eu acessava:

http://localhost:8080/springsecurity/security/consult e recebia uma lista de resultados vindos do banco pela página consult em WEB-INF/pages/

@RequestMapping(value = “/consult”, method = RequestMethod.GET)
public List consult() throws DAOException {
return service.consult();
}

mais agora só recebo 404 - recurso não encontrado. =/

o sua página está no endereço WEB-INF/pages/security/consult.jsp?
caso esteja na pasta pages, tente: http://localhost:8080/springsecurity/consult
(desde que o seu controller não esteja mapeado como /security).

ou modifique seu controller para incluir a lista no contexto da requisição e retorno o endereço do recurso utilizando uma String:

@RequestMapping(value = "/consult", method = RequestMethod.GET) public List<PeopleVO> consult(Model model) throws DAOException { model.addAttribute("consultList", service.consult()); // note your webpage must be prepared to handle it return "/consult"; // it will redirect to WEB-INF/pages/consult.jsp }

o sua página está no endereço WEB-INF/pages/security/consult.jsp? - SIM

caso esteja na pasta pages, tente: http://localhost:8080/springsecurity/consult - error 404

(desde que o seu controller não esteja mapeado como /security). - O controller está mapeado como security

@Controller
@RequestMapping("/security")

vou tentar modificar o controller como mencionou e posto aqui o resultado após - pode ser que de certo.

Se tiver alguma nova idéia lhe agradeço. Obrigado por enqunanto !

como sua página esta em /pages/security/
vc deve retornar “/security/consult”

assim o sistema vai mapear para WEB-INF/pages/security/consult.jsp

outra coisa. tentou colocar um breakpoint no controller, para garantir que o sistema está chegando ali?
caso contrário, tente mapear o método consult como: ‘/secutity/consult’.

amigo, uma dúvida apenas: quais modificações você menciona que minha página consult precisa estar preparada para lidar ?

<c:forEach items="${peopleVOList}"  var="peopleVO">

                <tr>

                    <td>${peopleVO.id}</td>

                    <td>${peopleVO.patientName}</td>

                    <td><a href="update/${peopleVO.id}">Editar</a></td>

               </tr>
        </c:forEach>

no meu exemplo eu fiz: model.addAttribute(“consultList”, service.consult());
no seu caso, vc deve fazer model.addAttribute(“peopleVOList”, service.consult());

alem de alterar o tipo de retorno do método para String, correto ? acho que não devo ter muitas modificações na minha página consult.jsp

aparentemente ela recebe um list e via jstl apresenta ela na página - o que acha ?

acredito que na jsp não haja necessidade de nenhuma modificação

amigo, tentei das duas maneiras - renomeando o controller e reescrevendo o método consult com novo retorno - contudo sem sucesso

antes de adicionar o security tudo estava funcionava como lhe disse - requisições e retorno pelo controller com as páginas em WEB-INF - contudo agora não mais

pelo que vi na internet todos os exemplos e documentações contemplam as páginas no diretório webcontent padrão do webserver / não vi nem na documentação oficial no site do spring um exemplo com páginas no web-inf

estranho é que o security está funcionando 100% para todas as páginas que estão fora do web-inf - fora isso nada

tenho certeza que é uma bobeira o problema
tenho utilizado essa configuração e funciona bem aqui

pode ! resolvi dar um check de novo nos jars de security e framework - algo me diz agora que pode ter alguma incompatibilidade entre algum jar de um dos dois.

batata ! um jar perdido no classpath complicando o meio campo ! obrigado !

bom saber amigo. obrigado por avisar!
se puder atualizar o tópico, dizendo que esta resolvido. ira facilitar para o pessoal que tiver o mesmo problema.
valeu!