基于spring security框架遇到的401认证错误的定位

最新推荐文章于 2024-05-20 22:57:28 发布
最新推荐文章于 2024-05-20 22:57:28 发布
阅读量538 收藏 3
点赞数 7
分类专栏: java springboot 若依 文章标签: spring java 后端 ruoyi
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HWTwilight/article/details/138305072
版权
java 同时被 3 个专栏收录
13 篇文章 0 订阅
订阅专栏
springboot
6 篇文章 0 订阅
订阅专栏
若依
5 篇文章 0 订阅
订阅专栏

一:问题描述

目前的系统是基于若依框架开发的一个系统,这个系统划分了两个应用,分别是用户端应用和管理端应用,都是有独立的前端页面和后端服务。用户端应用和管理端应用除了war包是独立的,war所依赖的其他jar包基本差不多。

目前存在的问题是,针对管理端war包暴露的接口通过postman测试始终是报如下错误:


{

    "msg": "请求访问:/system/user/test,认证失败,无法访问系统资源",

    "code": 401

}

但是用户端应用暴露的接口通过postman测试一直是ok的。真是非常奇怪的一件事情。

二:问题分析

  1. 首先是多次对证失败的接口进行postman执行测试,依然是不通过的
  2. 其次对该接口换种别的写法,也是认证不通过。
  3. 接下来换成别的接口进行测试,还是不通过。
  4. 于是分析,目前验证的方式始终是在本地Dev环境测试出现的问题,在管理台上接口确实正常可以访问的。所以甚是奇怪。
  5. 既然排除是代码的问题,而且又是不同环境结果不同,那么就开始思考那可能是环境配置的问题。
  6. 于是开始坚持项目工程的环境配置文件,发现如下情况:

\src\main\resources目录下有四个配置文件来区分不同环境

基础配置:application.yml

本地环境application-dev.yml

测试环境:application-sit.yml

生产环境:application-prod.yml

接下来发现application.yml配置了

# token配置
token:
  # 令牌自定义标识
  header: Authorization
  # 令牌密钥
  secret: abcdefghijklmnopqrstuvwxyz
  # 令牌有效期(默认30分钟)
  expireTime: 30

接下来发现application-dev.yml没有配置token,application-sit.yml配置token了,但配置的secret与application.yml是不一样的。

看到这个问题突然想起来了问题的原因和自己验证的过程。原来在验证的过程中往Postman贴的token传每次都是从Sit环境的管理台拷贝过来的,但是本地启动的是Dev环境,造成了使用测试环境的token去dev环境取认证,由于token的secret不一致,明显是验证不通过的。

三:解决方案:

将application-dev.yml 与 application-sit.yml的token的秘钥 改成一致就可以了。

四:问题总结:

当初对不同的环境划分不同的配置文件,是另外一个同事做的,当时他是按照他之前项目的经验和习惯落实到我的这个系统上的。

当时我给他讲划分配置文件的原则是公共的配置放到application.yml中,不同环境的分别放到各自的配置中,保持每个配置项个数要一致。那个时候他给我讲,如果是application-dev.yml、application-sit.yml等配置与application.yml重复配置项,那么会自动覆盖掉的。

目前遇到的这个问题就是因为 application-sit.yml 配置了token项,但application-dev.yml没有配置,由于的token的secret的值不一致,引出了的问题。

所以在相关配置、功能设计上一定要做到职责独立、不重复以及清晰,不一定非得使用多么高级的功能。

疯癫的老码农
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
SpringBoot项目访问任意接口出现401错误的解决方案
一位菜鸡的博客
02-06 3112
SpringBoot项目访问任意接口出现401错误的解决方案
ruoyi管理系统新增接口401
ZR116118的博客
11-27 878
ruoyi管理系统新增接口401认证失败
SpringBoot Security 访问API始终报401
芥末鱿鱼~的博客
10-07 7497
前言 用POSTMAN或者在页面前端登录访问后端API时,始终返回401.返回401有很多原因造成的,主要分为两个方面来看:1.配置上的问题,确实没有权限。2.代码上的问题。配置上已经配置了权限,任然无法访问。这里主要讲代码上的问题。 一、 UserDetails实现类里的getAuthorities重写方法,返回null. public class UserDto extends Deepflo...
JavaSSM笔记(三)SpringSecurity框架
qq_25928447的博客
12-31 8263
SpringSecurity 本章我们会一边讲解SpringSecurity框架,一边从头开始编写图书管理系统。 SpringSecurity是一个基于Spring开发的非常强大的权限验证框架,其核心功能包括: 认证 (用户登录) 授权 (此用户能够做哪些事情) 攻击防护 (防止伪造身份攻击) 我们为什么需要使用更加专业的全新验证框架,还要从CSRF说起。 CSRF跨站请求伪造攻击 我们时常会在QQ上收到别人发送的钓鱼网站链接,只要你在上面登陆了你的QQ账号,那么不出意外,你的号已经在别人手了。实际.
Spring Security 自定义异常失效?从源码分析到解决方案
有来技术
11-30 1412
本文深度解析Spring Security权限管理系统,当全局异常处理器存在时,自定义的权限异常处理器失效的问题。通过源码详细解析,揭示了异常处理的内部流程,帮助读者深入理解Spring Security异常处理机制。
Spring Security参考手册
殇莫忆的博客
05-05 5103
Spring Security 参考手册Ben AlexLuke TaylorRob WinchGunnar HillertTable of Contents前言入门简介Spring Security是什么?历史发布版本号Getting Spring SecuritySpring Security 4.1新特性Java 配置提升Web应用程序安全性提升授权改进密码模块的改进测试的改进一般的改进样品...
Java SSM 重制版(三)SpringSecurity
qq_25928447的博客
07-05 1973
有些时候,我们的数据库可能并不会像SpringSecurity默认的那样进行设计,而是采用自定义的表结构,这种情况下,上面两种方式就很难进行验证了,此时我们得编写自定义验证,来应对各种任意变化的情况。} }现在我们需要去实现这个方法,表示在验证的时候通过自定义的方式,根据给定的用户名查询用户,并封装为对象返回,然后由SpringSecurity将我们返回的对象与用户登录的信息进行核验,基本流程实际上跟之前是一样的,只是现在由我们自己来提供用户查询方式。
SpringBoot使用Spring Security
huqiwuhuiju的博客
04-16 1135
转载地址:https://www.jianshu.com/p/defa75b65a46 Spring Security 基本介绍 这里就不对Spring Security进行过多的介绍了,具体的可以参考官方文档 我就只说下SpringSecurity核心功能: 认证(你是谁) 授权(你能干什么) 攻击防护(防止伪造身份) 基本环境搭建 这里我们以SpringBoot作为项目的基本框架,我这里使用的是maven的方式来进行的包管理,所以这里先给出集成Spring Security的方式
基于SSM框架的健康项目管理源码,整合Dubbo分布式与SpringSecurity权限认证
03-25
项目概述:这是一款基于SSM(SpringSpringMVC、MyBatis)框架开发的健康项目管理源码。项目整合了Dubbo分布式服务框架,以及SpringSecurity进行权限认证,确保系统的安全性和高效性。技术栈多元,主要使用...
动力节点最新SpringSecurity框架教程配套资料分享
07-25
Spring Security是一个功能强大的认证和访问控制框架,提供基于Spring应用程序的认证和授权功能。 本套视频适合具有SpringBoot基础、具有数据库基本使用经验的软件从业人员。 课程内容主要分为: 安全入门,认证...
基于Spring Security的细粒度权限管理系统设计源码
03-28
这是一个基于Spring Security框架的细粒度权限管理系统,使用Java语言开发,同时包含JavaScript、CSS、HTML等多种编程语言。该项目共包含2447个文件,其主要文件类型包括JavaScript、PNG图片、CSS、HTML、JAR包、...
如何基于spring security实现在线用户统计
08-19
主要介绍了如何基于spring security实现在线用户统计,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security基于数据库实现认证过程解析
08-18
主要介绍了Spring Security基于数据库实现认证过程解析,文通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring Security使用记录
chenzeyu110的博客
10-29 439
文章目录**1.概念介绍****1.1权限管理****1.2完成权限管理需要三个对象****1.3Spring Security****1.3.1创建web工程并导入jar包** 1.概念介绍 1.1权限管理 权限管理,一般指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源。权限管理几乎出现在任何系统,前提是需要有用户和密码认证的系统。 在权限管理的概念,有两个重要的名词: 认证:通过用户名和密码成功登陆系统之后,让系统得到当前用户的角色身份 授权:系统根据当前用户的角色,
(三)Spring教程——依赖注入与控制反转
05-14 557
Spring有两个重要的接口:BeanFactory和ApplicationContext,所谓的容器就是实现了BeanFactory接口或者是ApplicationContext接口的类的实例,BeanFactory是最顶层、最基本的接口,它描述了容器需要实现的最基本的功能,比如对象的注册、获取等。在编写传统的Java应用代码时,我们一般是直接在对象内部通过new来创建对象,让程序主动去创建依赖对象,这就是一个“谁使用,谁创建”的过程,创建依赖对象的主动权和创建时机都是由自己来把控。
SpringCloud系列(22)--Ribbon默认负载轮询算法原理及源码解析
最新发布
m0_64284147的博客
05-20 381
在上一篇文章我们介绍了如何去切换Ribbon的负载均衡模式,而本章节内容则是介绍Ribbon默认负载轮询算法的原理。
Spring Security】授权
weixin_43676950的博客
05-20 402
RBAC(Role-Based Access Control,基于角色的访问控制)是一种常用的数据设计方案,它将用户的权限分配和管理与角色相关联。通过对用户角色关联和角色权限关联表进行操作,可以实现灵活的权限管理和访问控制。1、用户表(User table):包含用户的基本信息,例如用户名、密码和其他身份验证信息。5、角色权限关联表(Role-Permission table):将角色与权限关联起来。4、用户角色关联表(User-Role table):将用户与角色关联起来。
spring security框架
05-01
Spring Security是一个基于Spring框架的安全框架,为Spring应用程序提供声明式的安全访问控制功能。它提供了一组可插拔的API,开发人员可以使用这些API来实现安全领域的各种功能,例如认证、授权和攻击防护。Spring Security还提供了许多预构建的过滤器来拦截对受限资源的请求,并且可以通过配置进行自定义。以下是Spring Security的一些功能: 1. 认证和授权 Spring Security提供了基于角色和细粒度的访问控制功能,可以轻松实现用户身份认证和授权的功能。 2. 基于过滤器的安全性 Spring Security通过一系列过滤器来拦截对受限资源的请求,并在请求之前进行安全检查。 3. 支持多种认证方式 Spring Security支持多种认证方式,例如基于表单的认证和基于HTTP基本认证。 4. CSRF保护 Spring Security提供了内置的CSRF保护,可以防止跨站点请求伪造攻击。 以下是一个简单的Spring Security配置,它允许任何已经通过身份验证的用户访问所有页面: ```java @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user") .password("password") .roles("USER"); } } ``` 这个配置使用了Spring Security提供的默认登录页面和HTTP基本认证方式进行认证。在这个配置,任何已经通过身份验证的用户都可以访问所有的页面。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

疯癫的老码农

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值