SpringSecurity登录验证没有权限的问题(403)

置顶 已于 2022-07-28 19:03:51 修改
阅读量1w 收藏 20
点赞数 9
分类专栏: 技术难题 文章标签: http 网络协议 springboot 安全
于 2022-07-14 21:52:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Memory_2020/article/details/125793563
版权

问题重现

SpringSecurityConfig配置登录验证拦截,并放行登录验证及生成二维码的url。
在这里插入图片描述

调用postman 测试接口,发现可以获取验证码。
在这里插入图片描述

但当进行登录验证的时候就报了403错误,没有走过滤器,而是是直接走了配置中的accessDeniedHandler方法,返回403。

在这里插入图片描述

当使用get接口发现走了过滤器,但是因为SpringSecurity规定了登录验证必须走post,所以登录失败。但为什么post方法直接走403呢?

在这里插入图片描述

原因

后来查阅资料发现,因为SpringSecurity开启了CSRF跨站防护,(SpringSecurity在2.0之后就会默认自动开启)。一旦开启了CSRF,所有经过springsecurity的http请求以及资源都被会CsrfFilter拦截,仅仅GET|HEAD|TRACE|OPTIONS这4类方法会被放行,也就是说post,delete等方法依旧是被拦截掉的,限制了除了get以外的大多数方法,报出403错误。需要关闭CSRF,post请求才会被接收。

解决方法

1、关闭CSRF跨站防护

http.csrf().disable();

2、开启CSRF,设置将令牌存入cookie中。在post请求头带入令牌参数进行提交。(最佳选择)

http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

在这里插入图片描述

搞定。

侠客v
关注
专栏目录
springboot spring security 接口403 自定义处理
handsomepig123_的博客
04-28 2333
springboot spring security 接口403 自定义处理需要解决的问题需要实现的样式查找过程最后得到的处理方案---针对修改弹窗提示参考的文章链接 需要解决的问题 在弹出页面中有调用接口,当当前登录用户没有权限时,就会小弹窗报错,不过报错的提示是FORBIDDEN对用户不友好,考虑将FORBIDDEN改成:无权限,请联系管理员这个问题 需要实现的样式 查找过程 我先设想 弹窗报错应该是是前端框架EASYUI的事,所以就是后端调用接口时检查登录人员无接口权限触发报错。前端收到错误信息
SpringBoot+SpringSecurity整合(实现了登录认证和权限验证)完整案例,基于IDEA项目
02-16
SpringBoot+SpringSecurity整合示例代码,实现了从数据库中获取信息进行登录认证和权限认证。 本项目为idea工程,请用idea2019导入(老版应该也可以)。 本项目用户信息所需sql文件,在工程的resources文件夹下,...
Springboot+SpringSecurity+JWT实现用户登录权限认证示例
08-19
主要介绍了Springboot+SpringSecurity+JWT实现用户登录权限认证示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
关于使用SpringSecurity框架发起JSON请求,但因登陆失效导致响应403问题
qq826303461的博客
04-26 381
2.在配置类中引入该处理器,这里涉及到部分的业务代码,所以采用截图的方式,只需要将上面的失效处理器配置到config中即可。就是当用户登陆失效后,前端操作JSON请求获取列表数据,但因为登陆失效了。导致请求过不去返回结果。有个处理起对这个请求进行了处理,同时转发到了error页面。安全框架使用的是内置版本的SpringSecurity。3.在前端JS内对发起请求的地方做统一拦截处理。这里记录一个生产中遇到的一个问题。同时服务端也没有任何的异常日志。
springboot security安全管理报错403
weixin_74009895的博客
08-13 507
springboot security安全管理报错403
引入spring security 403问题
qq_58706693的博客
03-18 298
spring security 403问题
解决Spring Security使用过程中出现的403问题
weixin_51743499的博客
01-19 2358
4.接口已经再Spring Security的配置中设置了authenticated(),即需要授权,但忘记把过滤器添加到Spring Security中,这种情况不好发现,无法debug。被设置为authenticated()时需要获取对应的token授权后才可访问相应的接口。这个问题需要debug逐行查找。
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3630
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 5143
解决使用Spring-Security框架发送请求出现403错误的问题
Spring Security登录接口总报403异常问题
qq_53324833的博客
06-01 1237
就是如果是新系统的话,一定要把旧SQL文件中的被加密的部分进行重新加密存储,反正我是这么解决的。
基于SpringSecurity的Java用户登录权限验证设计源码
最新发布
10-06
该项目为基于SpringSecurity框架的Java用户登录权限验证设计,源码包含28个文件,涵盖24个Java源文件、1个Git忽略文件、1个Markdown文件、1个XML配置文件和1个YAML配置文件,旨在实现用户认证和权限管理功能。
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
详解使用Spring Security进行自动登录验证
08-29
使用Spring Security进行自动登录验证需要我们遵守Spring Security的规定,创建相应的数据表,配置权限控制信息,并编写注册页面和处理逻辑。只有这样,我们才能实现自动登录验证,并提高网站的安全性。
Spring security实现登陆和权限角色控制
09-09
在这个场景中,我们将探讨如何使用Spring Security来实现登录权限角色控制。首先,确保你正在使用的Spring版本为4.3.2.RELEASE,而Spring Security版本是4.1.2.RELEASE。在开始之前,你需要对Spring MVC、SPeL...
Spring Security 自定义异常处理403
qq_43904196的博客
07-18 2091
通过以上原因进行分析我们得知了具体403Http403ForbiddenEntryPoint对response进行一个设置的,而Http403ForbiddenEntryPoint实现了AuthenticationEntryPoint接口,所以我们也可以自己定义一个实现AuthenticationEntryPoint接口的一个实现类如下图所示:重写接口中的commence方法即可。
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7262
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
spring secutity 403请求
weixin_39144798的博客
06-14 1038
spring secutity 自定义403
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值