Spring Security 前后端分离登录,非法请求直接返回 JSON

最新推荐文章于 2024-05-15 22:38:53 发布
最新推荐文章于 2024-05-15 22:38:53 发布
阅读量746 收藏 17
点赞数 17
分类专栏: 程序员 文章标签: spring json java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84024576/article/details/138344076
版权

这种配置在前后端不分的登录中是没有问题的,在前后端分离的登录中,这种配置就有问题了。我举个简单的例子,例如我想访问 /hello 接口,但是这个接口需要登录之后才能访问,我现在没有登录就直接去访问这个接口了,那么系统会给我返回 302,让我去登录页面,在前后端分离中,我的后端一般是没有登录页面的,就是一个提示 JSON,例如下面这样:

@GetMapping(“/login”)

public RespBean login() {

return RespBean.error(“尚未登录,请登录!”);

}

完整代码大家可以参考我的微人事项目。

也就是说,当我没有登录直接去访问 /hello 这个接口的时候,我会看到上面这段 JSON 字符串。在前后端分离开发中,这个看起来没问题(后端不再做页面跳转,无论发生什么都是返回 JSON)。但是问题就出在这里,系统默认的跳转是一个重定向,就是说当你访问 /hello 的时候,服务端会给浏览器返回 302,同时响应头中有一个 Location 字段,它的值为 http://localhost:8081/login ,也就是告诉浏览器你去访问 http://localhost:8081/login 地址吧。浏览器收到指令之后,就会直接去访问 http://localhost:8081/login 地址,如果此时是开发环境并且请求还是 Ajax 请求,就会发生跨域。因为前后端分离开发中,前端我们一般在 NodeJS 上启动,然后前端的所有请求通过 NodeJS 做请求转发,现在服务端直接把请求地址告诉浏览器了,浏览器就会直接去访问 http://localhost:8081/login 了,而不会做请求转发了,因此就发生了跨域问题。

解决方案

很明显,上面的问题我们不能用跨域的思路来解决,虽然这种方式看起来也能解决问题,但不是最佳方案。

如果我们的 Spring Security 在用户未获认证的时候去请求一个需要认证后才能请求的数据,此时不给用户重定向,而是直接就返回一个 JSON,告诉用户这个请求需要认证之后才能发起,就不会有上面的事情了。

这里就涉及到 Spring Security 中的一个接口 AuthenticationEntryPoint ,该接口有一个实现类:LoginUrlAuthenticationEntryPoint ,该类中有一个方法 commence,如下:

/**

  • Performs the redirect (or forward) to the login form URL.

*/

public void commence(HttpServletRequest request, HttpServletResponse response,

AuthenticationException authException) {

String redirectUrl = null;

if (useForward) {

if (forceHttps && “http”.equals(request.getScheme())) {

redirectUrl = buildHttpsRedirectUrlForRequest(request);

}

if (redirectUrl == null) {

String loginForm = determineUrlToUseForThisRequest(request, response,

authException);

if (logger.isDebugEnabled()) {

logger.debug("Server side forward to: " + loginForm);

}

RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);

dispatcher.forward(request, response);

return;

}

}

else {

redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);

}

redirectStrategy.sendRedirect(request, response, redirectUrl);

}

首先我们从这个方法的注释中就可以看出,这个方法是用来决定到底是要重定向还是要 forward,通过 Debug 追踪,我们发现默认情况下 useForward 的值为 false,所以请求走进了重定向。

那么我们解决问题的思路很简单,直接重写这个方法,在方法中返回 JSON 即可,不再做重定向操作,具体配置如下:

@Override

protected void configure(HttpSecurity http) throws Exception {

http.authorizeRequests()

.anyRequest().authenticated()

.formLogin()

.loginProcessingUrl(“/doLogin”)

.loginPage(“/login”)

//其他配置

.permitAll()

.and()

.csrf().disable().exceptionHandling()

.authenticationEntryPoint(new AuthenticationEntryPoint() {

@Override

public void commence(HttpServletRequest req, HttpServletResponse resp, AuthenticationException authException) throws IOException, ServletException {

resp.setContentType(“application/json;charset=utf-8”);

PrintWriter out = resp.getWriter();

RespBean respBean = RespBean.error(“访问失败!”);

if (authException instanceof InsufficientAuthenticationException) {

respBean.setMsg(“请求失败,请联系管理员!”);

}

out.write(new ObjectMapper().writeValueAsString(respBean));

out.flush();

out.close();

总结

虽然面试套路众多,但对于技术面试来说,主要还是考察一个人的技术能力和沟通能力。不同类型的面试官根据自身的理解问的问题也不尽相同,没有规律可循。

上面提到的关于这些JAVA基础、三大框架、项目经验、并发编程、JVM及调优、网络、设计模式、spring+mybatis源码解读、Mysql调优、分布式监控、消息队列、分布式存储等等面试题笔记及资料

有些面试官喜欢问自己擅长的问题,比如在实际编程中遇到的或者他自己一直在琢磨的这方面的问题,还有些面试官,尤其是大厂的比如 BAT 的面试官喜欢问面试者认为自己擅长的,然后通过提问的方式深挖细节,刨根到底。

M及调优、网络、设计模式、spring+mybatis源码解读、Mysql调优、分布式监控、消息队列、分布式存储等等面试题笔记及资料**

有些面试官喜欢问自己擅长的问题,比如在实际编程中遇到的或者他自己一直在琢磨的这方面的问题,还有些面试官,尤其是大厂的比如 BAT 的面试官喜欢问面试者认为自己擅长的,然后通过提问的方式深挖细节,刨根到底。

本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录

springSecurity前后端分离项目登陆返回json
qq_36715887的博客
08-08 1076
一、前言 在传统的前后端分离项目中,根据请求进来的路径,经过业务处理之后,一般是采用ModelView形式返回,或者是直接返回字符串,根据提前编写好的view匹配规则,转发到对应的页面,故而可以说是,有服务端来控制页面的展示。在前后端分离项目中,服务端只需要返回接送数据即可,展示的工作则有前端根据路由去匹配,决定展示的内容,所以,无论是哪种框架,都是只返回json即可。SpringSecurity直接在配置中将登陆状态的结果封装成json返回。 二、在配置中实现json返回 package c
Spring Security 前后端分离登录非法请求直接返回 JSON(1)
2401_84024576的博客
04-30 571
看完上述知识点如果你深感Java基础不够扎实,或者刷题刷的不够、知识不全面小编专门为你量身定制了一套针对知识面不够,也莫慌!还有一整套的,可以瞬间查漏补缺全都是一丢一丢的收集整理纯手打出来的。
SpringSecurity在权限认证时返回JSON数据
weixin_66822145的博客
05-24 947
因为多数的系统都是前后端分离的系统,前段请求后端的数据来判断认证的标识,SpringSecurity要实现返回JSON也并不难,只需要重写一些相关的处理器即可。
Spring Security实现用户认证二:前后端分离时自定义返回Json内容
最新发布
不做菜虚困的博客
05-15 1130
注释掉原来的formLogin和httpBasic。@Beanauthorizelogin.loginPage("/login").permitAll() // 一定加上这个,不然会一直重定向,导致报错在resources下创建目录templates,用来存放thymeleaf写的页面,在这个目录下面创建login.html页面。
spring security如果未登录返回JSON数据
lichuangcsdn的博客
07-08 8922
默认情况下,spring security如果检测到未登录,会返回一个登录页面。对于前后端分离的项目,我们一般是希望能返回自定义的JSON数据。这时候,就需要继承类LoginUrlAuthenticationEntryPoint,并重写其 public void commence(HttpServletRequest request, HttpServletResponse response, ...
Spring Security 前后端分离登录非法请求直接返回 JSON(2)
2401_84024576的博客
04-30 633
分享一些资料给大家,我觉得这些都是很有用的东西,大家也可以跟着来学习,查漏补缺。《Java高级面试》《Java高级架构知识》《算法知识》ava高级面试》**[外链图片转存中…(img-gC9dlkFN-1714457168368)]《Java高级架构知识》[外链图片转存中…(img-HJzMKadz-1714457168368)]《算法知识》[外链图片转存中…(img-eIRKi9ny-1714457168369)]本文已被。
SpringSecurity前后端分离
m0_67393039的博客
08-02 907
继承了抽象类,抽象类实现了接口认证流程1、前端通过把用户名和密码发送到后端的控制器,控制器调用业务层2、Service层创建对象,把用户名和密码封装成对象3、然后调用的方法进行认证,抽象类中重写了方法4、的方法中调用了抽象方法方法5、在重写方法里调用了方法,自定义类实现接口,重写方法6、在方法中,会查询用户和角色,然后返回对象实现CommonResp接口,方便自定义异常后续修改错误信息//直接接收RespBeanEnum的传参用于构造业务异常super();//调用父类的无参构造方法。...
SpringBoot整合SpringSecurity前后端分离
weixin_44283656的博客
06-07 2282
SpringBoot整合SpringSecurity实现用户任何和权限认证
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Springboot整合SpringSecurity登录校验后返回json解决
weixin_40127083的博客
02-14 3984
1 引言 Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于spring的应用程序的实际标准。 最近一直在学习使用Springboot整合Springsecurity框架,下面分享一下登录校验以及权限校验后,成功与失败都不走Springsecurity默认的界面,改为返回一串json,便于前后端分离项目。 2 引入依赖 <!--导入spring s...
SpringSecurity+Mybatis plus返回json数据并设置密码加密
编程愣头青
02-06 1767
目录实体类登录方法加密方法官方的加密方法自定义加密方法添加密码的时候使用完整代码 实体类 /** * <p> * * </p> * * @author qileyun * @since 2022-02-06 */ @EqualsAndHashCode(callSuper = false) @Accessors(chain = true) public class User implements UserDetails,Serializable{ priv
springsecurity 登录失败返回json串,而不是跳转登录界面
小夢書亭的博客
09-18 1310
实现 AuthenticationEntryPoint @Component public class AjaxAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authenticatio.
Spring Security实现前后端分离Login登录功能,返回JSON提示,核心代码不到100行!
m0_59562547的博客
10-25 2030
#前后端分离登录设计思路和流程图 前后端分离是企业级应用开发的主流,登录功能同样采用前后端分离模式。 用户信息存在数据库中。 Spring Security提供身份认证。 前后端交互通过JSON进行。 登录成功不是页面跳转,而是一段JSON提示。 #第一步:前期准备工作 项目架构: 开发环境Spring-boot 2.5.5 Maven 数据库MySQL8.0+,存放用户、角色、用户角色对照表 持久层Mybatis 数据库及表设计;MAVEN依赖;application.pro...
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 798
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
spring security未登陆时,不跳转登陆页面改为返回JSON字符串
weixin_34148340的博客
03-08 5226
集成spring security时,因为是前后端分离,所以不能跳转到登陆页面,而是返回未登陆的JSON串。 解决办法如下: 重写LoginUrlAuthenticationEntryPoint方法,将该方法里的commence改成返回json串 public class MacLoginUrlAuth...
Security登录返回Json 而非跳转登录页面
bll1992的博客
07-02 1851
jie最近使用vue做前后端分离的项目,每次重启服务或者session失效之后,导致Security 302 到登录页面,而且前端无法获取到302的状态,没法拦截后自己跳转,所以需要我们返回Json; 首先我们需要实现AuthenticationEntryPoint接口,重写它的commence方法, /** * @Description: * @author: lulu * @date: 2021/7/2 4:44 下午 */ public class CustomAuthenti...
前后端分离Spring Boot与Spring Security的应用示例
在进行Spring Boot与Spring Security结合以实现前后端分离的演示项目(Demo)中,我们会关注以下几个关键知识点: ### Spring Boot **1. 概念和特点** Spring Boot是一个开源的Java基础框架,旨在简化Spring应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值