Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截

最新推荐文章于 2024-09-24 22:34:10 发布
最新推荐文章于 2024-09-24 22:34:10 发布
阅读量7.4k 收藏 16
点赞数 6
分类专栏: 骗过spring security的 filter 登录检查拦截 Spring Security 跳过登录检查 spring security 非页面登录 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Cgh_Baby/article/details/108234719
版权

背景 

 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session中是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring  security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spring security的登录信息是保存在session的一个SecurityContext里面 ,因此有了以下的骚操作。

上代码

        // 获取spring security上下文
        SecurityContext context = SecurityContextHolder.getContext();
        
        //创建一个用户信息
        UserDetails userDetails = new User(ssoUserCache.getUserName(), passwordEncoder.encode(AuthorizationCommon.SSO_DEFAULT_PASSWORD), AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_USER"));

        // 使用 UsernamePasswordAuthenticationToken 认证
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(userDetails,userDetails.getPassword(), userDetails.getAuthorities());

        // 把这个认证保存到spring security上下文
        context.setAuthentication(authRequest);
        // 把spring security上下文保存到 session 中,重要!重要!重要!没有这一步上面的都是白瞎
        session.setAttribute(HttpSessionSecurityContextRepository.SPRING_SECURITY_CONTEXT_KEY,context);

如果对您有帮助的话,记得帮点赞哦

Cgh_Baby
关注
专栏目录
springboot使springsecurity不用登录
m0_67403076的博客
03-23 2774
springboot中加入springsecurity的依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> 当引入这个依赖后,启动项目,springSecurity也会跟着启动,默认使用HttpBasic的方式启
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
SpringSecurity
最新发布
luosuss的博客
09-24 899
​ 在互联网中,我们每天都会使用到各种各样的APP和网站,在使用过程中通常还会遇到需要注册登录的情况,输入你的用户名和密码才能正常使用,也就是说成为这个应用的合法身份才可以访问应用的资源,这个过程就是认证。认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。​ 当然认证的方式有很多,常见的账号密码登录,手机验证码登录,指纹登录,刷脸登录等等。​ 简单说: 认证就是让系统知道我们是谁。​ 认证是为了保护身份的合法性,授权则是为了更细粒度的对数据进行划分,授权是在认证通过的前提下发生的。
spring security 实现免登陆功能
json20080301
03-19 8406
spring security 实现免登陆功能大体也是基于COOKIE来实现的。 主要配置信息: 1.首先登陆表单要Post URL: /j_spring_security_check 同时_spring_security_remember_me要等于yes,这时登陆后会记录cookie到数据库中; /j_spring_security_check?_spri...
使用Spring Security实现权限管理
一条宝鱼的专栏
03-16 1081
使用Spring Security实现权限管理   1、技术目标     了解并创建Security框架所需数据表为项目添加Spring Security框架掌握Security框架配置应用Security框架为项目的CRUD操作绑定权限     注意:本文所用项目为"影片管理",参看 http://hotstrong.iteye.com/blog/1156785   2
spring security登录动态配置方案2
weixin_34037173的博客
11-26 932
序 之前有篇文章讲了怎么进行免登录动态配置的方案,动用了反射去实现,有点黑魔法的味道,这里再介绍另外一种方案 permitAll spring-security-config-4.2.3.RELEASE-sources.jar!/org/springframework/security/config/annotation/web/conf...
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 9079
spring security单点登录跳过密码验证
spring security跳过认证
weixin_30357231的博客
10-09 6848
在启动springboot的时候,给启动注解后添加这个exclude参数后接想要跳过的类就不会加载它了。 @SpringBootApplication(exclude = { org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration.class}) 转载于:https://www.cnbl...
SpringSecurity - 登录注册加密/登录拦截/失败信息回显详解(慢步骤解析)
江南烟雨却痴缠丶
01-24 3991
配置文件中form-login标签详解 login-page // 自定义登录页面的url,例如login.htmllogin-processing-url // 登录请求拦截的url,即form表单提交的url,默认值是/login // 以下2个需要配合使用,如果需要认证成功跳转的url,则always-use-d...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
接下来,`SpringSecurity`是用于Web应用程序的安全框架,它可以处理用户认证和授权。在Spring Boot项目中集成Spring Security,我们需要在`pom.xml`中添加对应的依赖。一旦添加,Spring Security会自动配置一些基础...
详解Spring Security如何配置JSON登录
10-19
当需要以JSON格式而传统的表单提交方式进行登录时,我们遇到了一个问题:Spring Security默认配置无法直接处理JSON格式的数据,这就需要我们对现有的安全过滤器进行扩展或重写。 在Spring Security的过滤器链中,...
浅谈Spring Security 对于静态资源的拦截与放行
08-25
这个错误表明,浏览器收到的响应MIME类型不是预期的CSS类型,而是HTML,这是由于Spring Security拦截了请求,并返回了登录页面。 解决这个问题的关键在于配置Spring Security,使其忽略对静态资源的拦截。我们可以...
SpringSecurity6 | 默认登录
分享思想,留下痕迹。
11-19 8740
大家好,我是Leo哥🫣🫣🫣,前面我们学习了有关SpringSecuritySpringBoot项目中是如何给我进行自动的添加鉴权功能,简单复习了一下SpirngBoot的自动配置。接下来我们就接着学习SpringSecurity相关知识点。这一节我们将要学习SpringSecurity中默认的登录页面是如何实现的。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!
SpringSecurity越过数据库登录
我是小妖怪,逍遥又自在
04-13 218
/** * 用户认证规则 * * @author Z0001 * @since 2020-03-17 */ @Component public class CustomUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(Str...
SpringSecurity 免密登录方法
weixin_38982591的博客
01-29 2659
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
spring security运行时配置ignore url
weixin_33895695的博客
08-14 4322
序 以前用shiro的比较多,不过spring boot倒是挺推崇自家的spring security的,有默认的starter,于是也就拿来用了。 问题 对于免登陆的url,采用java config,可以这样配置: @EnableWebSecurity public class SecurityConfig extends WebSe...
Spring-本地调试如何跳过Spring Security权限校验
努力搬砖,顶峰相见
05-21 802
项目中使用安全框架,例如使用Spring Security进行安全校验。但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。下面就是如何暂时规避掉安全校验,方便我们的本地测试。
SpringSecurity 配置静态资源和请求不启用过滤器链
你今天真好看呀
08-21 2432
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的和方法级的。是一款常优秀的权限管理框架。它的核心是一组过滤器链,不同的功能经由不同的过滤器。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值