彻底重写设备校验+深入对springSecurity的了解

最新推荐文章于 2023-02-17 17:02:25 发布
最新推荐文章于 2023-02-17 17:02:25 发布
阅读量138 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gentleaman/article/details/118175805
版权

之前的设备校验是在所有的页面跳转Controller中加入重复的判断,即使把判断的方法抽取出来了,但还是有大量重复的代码。但是在之前的需求中,我还是这么做了。

这次我为什么要改呢,是因为现在的登录接口不仅要给pc用还要给app用,他俩的登录功能类似,但登录之后各自都有个设备校验,pc端是校验登录的设备是否是第一次登录,而app端校验的是用户的账号是否是第一次登录,虽然可以大改所有的controller,但我并不想这么做,太不优雅了。

所以我就去深入了解了一下Spring Security的过滤链

每个请求都会执行一遍springsecurity 过滤链中的所有过滤器,所以我写个过滤器加入到过滤链中,并且利用 addFilterAfter 加入到 UsernamePasswordAuthenticationFilter 之后,拦截所有的请求

当我做了之后首先遇到了第一个问题,静态资源不加载,报错的原因是因为多次commit了response,

因为每次访问都会走一遍这个过滤链,而我自定义的过滤器,并不完善,所以每个请求都会来commit我的response,百度了一番之后,大家都说放行在配置类中放行静态资源即可

原本我是配置了

 http.authorizeRequests()
                .antMatchers(securityProperty.getOpenApi()).permitAll()

但是我的静态资源还是走了过滤链

后来又配置了

 web.ignoring().antMatchers("/admin/**","/component/**","/favicon.ico");

这次页面显示正常了,晚上阅读springsecurity的相关文档得知,放图

但是后来又遇到了问题,我故意跳转一个404页面,404页面的图片又不加载了,这次又说我重复提交了response的commit

我先是怀疑又是静态文件走了过滤链,又跟老师一起阅读了源码发现,让忽略静态文件生效的的类叫做

FilterSecurityInterceptor

发现他的执行顺序在我的过滤器之前,我就想一定是因为这个类还没有走我的请求就发送了,所以导致没有忽略静态资源,我就利用

.addFilterAfter(verifySecureSupport, FilterSecurityInterceptor.class)

调整过滤链的顺序

还是不行。

一夜过去了

我睡前一直在想该怎么办

早上去工作室的时候突然想起来一个好办法,

利用

request.getServletPath()

获取请求的路径,如果是静态资源肯定会是.png,.js等等等等

反正都会有个点,并且接口是都没有点的

所以我就直接

if(request.getServletPath().indexOf(".")==-1)

运行起来,非常完美

问题都解决了

Gentleaman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防重复提交专题系列3-3:springmvc下的基于token的防重复提交
ice-wee的专栏
07-29 2477
前言         今天发了三篇博客,咋一看这三篇博客毫无联系,网上很多博客也多是将这三篇博客作为三篇不同的主题发表。如果你不将这三篇博客联系起来看,就不能很透彻的防重复提交这个知识点,也不能学完整这个知识体系。为什么说这三篇文章要关联看,我在第三篇博客 springmvc下的基于token的防重复提交 里会阐述原因.下面要讲的三篇博客: 3 springmvc下的基于token的防重复提交
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringSecurity 认证流程详解有一定了解的都知道,在帐号密码认证的过程中,涉及到了以下几个类:UsernamePasswordAuthenticationFilter(用于请求参数获取),UsernamePasswordAuthenticationToken(表示用户...
创建一个重写
weixin_33898233的博客
11-30 56
由于Ruby on Rails使用它自己的服务器,访问您网站(及Ruby on Rails应用程序)的用户需要重定向到适当的端口。 Ruby不响应标准的HTTP端口编号,80。因此,访问者需要指定端口编号和域名—例如example.com:12001 。 记住: Ruby应用程序端口编号会根据每个新的应用程序自动递增。即,如果您使用的是共享服务器,将为您指定下一个可用端口...
Spring Security 从新设备或位置登录时通知用户
白石的专栏
12-27 444
在本文中,我们演示了如何在检测到用户帐户中有不熟悉的活动时发送登录通知。
SpringSecurity过滤器链中FilterSecurityInterceptor
江黎
01-07 729
// 添加JWT filter httpSecurity.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class); @Component public class JwtAuthenticationTokenFilter extends OncePerRequestFilter { @Autowired private TokenS...
史上最简单的Spring Security教程(十八):FilterSecurityInterceptor实现每个请求只处理一次
银河架构师的博客
08-05 2069
在前面的资源权限动态控制中,我们说了如何通过自定义 FilterSecurityInterceptor 来实现资源权限的动态控制。不知道大家发现没有,在 FilterSecurityInterceptor 实例的定义过程中,我们设置了其 observeOncePerRequest 属性为 false。 这是出于什么目的呢?其实,很简单。比如用户发起某个访问请求,首先经过默认的 FilterSecurityInterceptor,经过权限检查,需要身份认证权限,此时已经登录,权限认证通过;再交给自定义...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
SpringBoot+SpringSecurity+JWT权限管理练习项目
最新发布
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的...本文通过详细的示例代码和配置示例,帮助读者快速了解和掌握SpringSecurity整合Jwt的过程图解,提高了读者的学习和工作效率。
利用Spring Security做角色权限校验
12-10
本篇将深入探讨如何利用Spring Security进行角色权限校验,并动态地从数据库中查询用户是否具有访问特定接口的权限。 首先,我们需要理解Spring Security的基本架构。它主要包括四个主要组件:认证(Authentication...
SpringSecurity自定义权限
qq_62770345的博客
02-17 449
SpringSecurity对权限的校验主要有和校验。本文主要解释基于路径校验SpringSecurity对权限的校验主要通过这个过滤链实现的。
spring security
weixin_60223449的博客
07-17 468
Spring是非常流行和成功的Java应用开发框架,Spring Security正是Spring家族中的成员。Spring Security基于Spring框架,提供了一套Web应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控制),一般来说,Web应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是Spring Security重要核心功能。“Spring Security 开始于 2003
Spring Security+JWT实现认证与授权
weixin_44196561的博客
03-29 5114
目录 一、登录校验流程 3、 整合JWT大致流程 前端响应类 JWT工具类 重写UserDetailsService的方法 重写登录接口 认证过滤器 授权基本流程 封装权限信息 RBAC权限模型 自定义失败处理 认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户 授权:经过认证后判断当前用户是否有权限进行某个操作 一、登录校验流程 1、Spring Security 完整流程 SpringSecurity的原理其实就是一个过滤器链,内部包含了提供
java antmatchers,spring security配置(.antMatchers("/").permitAll())后,页面CSRF均报错
weixin_30794639的博客
03-12 3842
springsecurity遇到一个头疼的问题,先看代码http.authorizeRequests().antMatchers("/**/*.css").permitAll().antMatchers("/**/*.js").permitAll().antMatchers("/favicon.ico").permitAll().antMatchers("/").permitAll().anyR...
java报错 csrf_spring security配置(.antMatchers("/").permitAll())后,页面CSRF均报错
weixin_39738152的博客
02-25 3163
springsecurity遇到一个头疼的问题,先看代码http.authorizeRequests().antMatchers("/**/*.css").permitAll().antMatchers("/**/*.js").permitAll().antMatchers("/favicon.ico").permitAll().antMatchers("/").permitAll().anyR...
springSecurity自定义认证逻辑,重写登陆,token过滤,退出
Rosen's
09-13 3179
可以看到,使用123456分别执行两次encode后的输入是不一致的,因为BCryptPasswordEncoder会随机生成盐,加盐后的密文就不一样了,但这不影响BCryptPasswordEncoder解密,PasswordEncoder提供了matches方法用于比较密码原文与加密后的密文是否match。在测试的时候,我发现如果是有些参数如果写错,如把userName写成了username,则服务端收到的userName为null,后续逻辑中会有异常,没有配置全局异常处理可能导致位置异常,不太友好。
Spring Security(四)重写默认配置
学习不止境的博客
09-26 1867
通过之前的学习,我们已经知道了第一个项目的默认配置,接下来我们就来尝试替换它们。在本节中,我们将介绍.这两个组件参与身份验证的处理,大多数应用程序都会根据其 需求对它们进行自定义,但是关于这两个组件的细节我们仍然是放到后面细讲,目前我们只需了解如何插入自定义实现。
spring boot security FilterSecurityInterceptor 使用要点记录
热门推荐
qushapos的博客
12-10 1万+
spring security FilterSecurityInterceptor 使用要点记录 FilterSecurityInterceptor是一个方法级的权限过滤器, 基本位于过滤链的最底部 该过滤器用于控制method级别的权限控制. 官方提供了2种默认的方法权限控制写法 一种是在方法上加注释实现, 另一种是在configure配置中通过 @Secured("ROLE_ADMIN")...
自定义securityFilter过滤链
xiaozhuanhao的专栏
04-24 1万+
spring security3 网上的教程很多,但基本都是大同小异,大部分都是用标签配置,所以找了点时间看了下源码,我用的spring security3.1版本,使用bean声明的方式配置过滤链,看本文章需要读者对spring security3 有一定程度的了解 先来配置下web.xml,HttpSessionEventPublisher是使用session管理时需要用到的
SpringSecurity 校验token
08-30
- *1* [SpringSecurity](https://download.csdn.net/download/weixin_42561846/12879985)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值