Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截

最新推荐文章于 2024-01-29 15:01:09 发布
最新推荐文章于 2024-01-29 15:01:09 发布
阅读量7.2k 收藏 15
点赞数 6
分类专栏: 骗过spring security的 filter 登录检查拦截 Spring Security 跳过登录检查 spring security 非页面登录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cgh_Baby/article/details/108234719
版权

背景 

 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session中是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring  security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spring security的登录信息是保存在session的一个SecurityContext里面 ,因此有了以下的骚操作。

上代码

        // 获取spring security上下文
        SecurityContext context = SecurityContextHolder.getContext();
        
        //创建一个用户信息
        UserDetails userDetails = new User(ssoUserCache.getUserName(), passwordEncoder.encode(AuthorizationCommon.SSO_DEFAULT_PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));

        // 使用 UsernamePasswordAuthenticationToken 认证
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userDetails,userDetails.getPassword(), userDetails.getAuthorities());

        // 把这个认证保存到spring security上下文
        context.setAuthentication(authRequest);
        // 把spring security上下文保存到 session 中,重要!重要!重要!没有这一步上面的都是白瞎
        session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,context);

如果对您有帮助的话,记得帮点赞哦

Cgh_Baby
关注
  • 6
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4244
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
本地调试跳过Spring Security权限校验
最新发布
努力搬砖,顶峰相见
05-21 238
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
springboot使springsecurity不用登录
m0_67403076的博客
03-23 2683
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
若依 关于 springsecurity 不用密码登录,自定义第三方登录、免登录
u012943721的博客
08-29 4600
用的是若依的前后端分离的版本,项目接口是给小程序用 openid 直接免登录。他这是根据用户名和密码进行比对、由于密码没办法转换成明文。只能改成如下方法免登录
Springboot集成security,自定义@Anonymous标签实现免登录,免鉴权
evil_lrn的博客
02-16 5096
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
取消springsecurity默认的登录验证
web15285868498的博客
03-24 1618
取消springsecurity默认的登录验证 问题描述 解决方法一 方法二 问题描述 springboot 2.x,访问swagger-ui.html时,会自动跳转到springsecurity的login页,自定义过滤路径的拦截器无效。 解决方法一 修改依赖,项目因为使用了一些加密功能才引入springsecurity依赖,原依赖如下 <dependency> <groupId>org.springframework.boot<
SpringBoot跳过权限验证配置
风起尘落的博客
07-01 5626
security.basic.enabled = false interceptor.exclude.path = /**
SpringSecurity微服务权限方案-编写代码(认证和授权过滤器)
Leon_Jinhai_Sun的博客
05-24 148
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
接下来,`SpringSecurity`是用于Web应用程序的安全框架,它可以处理用户认证和授权。在Spring Boot项目中集成Spring Security,我们需要在`pom.xml`中添加对应的依赖。一旦添加,Spring Security会自动配置一些基础...
spring security 实现动态权限和短信验证码登录
07-23
在这个场景中,我们探讨的是如何利用Spring Security实现动态权限管理和短信验证码登录,并结合JWT(JSON Web Tokens)和Redis来提升系统的效率和安全性。 首先,让我们深入了解Spring Security的基础。Spring ...
详解spring security 配置多个AuthenticationProvider
08-30
Spring Security 由一堆 Filter 实现,包括 LogoutFilter、UsernamePasswordAuthenticationFilter 等。这些 Filter 负责拦截请求,并将其交由其他组件完成细分的功能。其中,UsernamePasswordAuthenticationFilter ...
SpringSecurity笔记,编程不良人笔记
10-28
- 用户提交登录请求,请求被SpringSecurity的过滤器拦截。 - 认证过滤器(如`UsernamePasswordAuthenticationFilter`)提取用户名和密码,并调用`UserDetailsService`进行验证。 - 验证成功后,创建`...
Spring Security模块
09-03
1. **Filter Security Interceptor (FSI)**:这是 Spring Security 的核心过滤器之一,它根据用户的访问权限对请求进行拦截。FSI 会检查用户是否已登录并具有执行请求所需的权限。 2. **Authentication Manager**:...
spring security 实现免登陆功能
json20080301
03-19 8324
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
SpringSecurity 免密登录方法
weixin_38982591的博客
01-29 1854
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
SpringSecurity+JWT单点登录跳过密码校验】
m0_44976351的博客
05-15 1680
https://blog.csdn.net/z69183787/article/details/113717614
SpringSecurity-2-用户通过浏览器登录(loginPage/loginProcessingUrl)并访问接口
文天大人
09-16 377
怀念二抱三抱
Spring Security入门(1-12)Spring Security 的过滤器机制
weixin_34329187的博客
06-21 94
Servlet过滤器被用来拦截用户请求来进行请求之前或之后的处理,或者干脆重定向这个请求,这取决于servlet过滤器的功能。 Servlet过滤器处理之后的目标servlet是 MVC 分发web servlet。 servlet请求按照一定的顺序从一个过滤器到下一个穿过整个过滤器链,最终到达目标servlet。与之相对的是,当servelt处理完请求并返回一个response时,过滤器链按照相...
Spring Security 自定义拦截Filter实现登录认证
05-11
Spring Security中,可以使用Filter来实现自定义的登录认证拦截器。具体步骤如下: 1. 创建一个实现了javax.servlet.Filter接口的拦截器类,例如:CustomAuthenticationFilter。 ```java public class CustomAuthenticationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 获取请求中的用户名和密码 String username = request.getParameter("username"); String password = request.getParameter("password"); // 自定义认证逻辑 if ("admin".equals(username) && "admin".equals(password)) { // 认证通过 filterChain.doFilter(request, response); } else { // 认证失败 response.setStatus(HttpServletResponse.SC_UNAUTHORIZED); } } } ``` 2. 在Security配置类中配置该拦截器。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(new CustomAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } } ``` 在上面的配置中,我们将自定义的拦截器添加到了UsernamePasswordAuthenticationFilter之前,这样就可以在登录认证之前进行自定义认证逻辑的处理。 3. 在登录页面中提交用户名和密码的表单。 ```html <form action="/login" method="post"> <div> <label>用户名:</label> <input type="text" name="username"/> </div> <div> <label>密码:</label> <input type="password" name="password"/> </div> <div> <input type="submit" value="登录"/> </div> </form> ``` 当用户提交表单时,自定义的拦截器会拦截请求并进行自定义认证逻辑的处理,如果认证通过,则继续执行后续的请求处理流程,否则返回认证失败的状态码。 以上就是使用Filter实现登录认证的步骤。需要注意的是,这种方式只适用于简单的认证场景,对于更为复杂的认证需求,建议使用Spring Security提供的AuthenticationProvider进行认证。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值