SpringSecurity前后端分离的session问题

最新推荐文章于 2024-05-23 09:00:00 发布
最新推荐文章于 2024-05-23 09:00:00 发布
阅读量2.7k 收藏 12
点赞数 2
文章标签: java session spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mr_FenKuan/article/details/118725895
版权

        最近在写一个demo,是前后端分离的,前端通过使用axios来发送异步请求来获取后端的数据,后端使用了SpringSecurity来做系统的鉴权,但发现,SpringSecurity总是拿不到session的问题。

前言:

        由于SpringSecurity中,很多东西都是基于session来做的,比如,当用户登录成功后,会创建一个SecurityContextHolder,里面存储了用户认证后的token数据,然后将其存储到session中。

当该用户的后续请求再过来时,如用户的权限鉴定,会先到session中把该 SecurityContextHolder取出来,这样就不需要重复的到数据库中查询用户的数据。

问题:

        axios在发送异步请求是,无法携带sessionid,导致后端在处理请求时,会为其创建新的的会话,所以在用户登录成功后,在下一次请求,(访问带权限的url)做用户鉴权时就无法获取到用户的认证信息,这样SpringSecurity就会提示用户未登录,访问无权限的限定的url是,会看到用户的角色是“匿名的”。

解决:

        想要解决这个问题也很简单,思路就是然axios每次发送请求时,都带上session_id,这样后端就可以识别出这是哪个session。

axios的设置:

 将withCredentials设置为true,默认为false。意思是允许请求时携带cookic信息。

因为http是无状态的,所以session信息会存放在cookic中,随请求携带。

import axios from 'axios'

axios.defaults.baseURL="http://localhost:8081"
//让请求携带cookic信息
axios.defaults.withCredentials=true

CORS跨域设置

这里主要注意两个点:

        1.Origin不能使用通配符 " * "

        2.Credentials要设置为true

这里以SpringSecurity配置CORS为例

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.exceptionHandling().authenticationEntryPoint(new SmsLoginEntryPoint())
                .and()
                .authorizeRequests()
                .antMatchers("/app/**").permitAll()
                .antMatchers("/user/**").hasRole("user")
                .antMatchers("/admin/**").hasRole("admin")
                .and()
                .formLogin().permitAll()
                .and()
              .cors()
                .configurationSource(configurationSource()) //配置SpringSecurity的跨域问题
                .and()
              .csrf().disable()
                .apply(smsAuthenticationSecurityConfig)
        .and().addFilterBefore(new SuccessFilter(), UsernamePasswordAuthenticationFilter.class);
//              .and()
//            .addFilterAfter(new UserAccessSecurityFilter(), FilterSecurityInterceptor.class);
    }

    //配置跨域请求
    CorsConfigurationSource configurationSource(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.addAllowedHeader("*");//设置被允许的请求头字段,*表示允许所有字段
        corsConfiguration.addAllowedMethod("*");//设置允许的请求方法,*表示允许所有请求方法
        corsConfiguration.addAllowedOrigin("http://localhost:8080");//设置允许的域,*表示允许所有的域
        corsConfiguration.setAllowCredentials(true);
        corsConfiguration.setMaxAge(3600L);//设置预检请求有效期,有效期内不必再次发送预检请求,默认是1800秒

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**",corsConfiguration);
        return source;
    }

Mr_FenKuan
关注
  • 2
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot集成SpringSecurity(四)前后端分离Session会话控制
xinshengdelei的专栏
03-31 2456
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
Spring Security前后端分离
MostSnails的博客
08-12 3634
Spring Security前后端分离
SpringSecurity前后端分离(Seesion版本)
led1114的博客
02-02 1269
1 - SpringSecurity 数据库设计 由于我没有学到密文处理,所以先使用可见密码 CREATE TABLE t_user( id INT(11) NOT NULL AUTO_INCREMENT, username VARCHAR(32) DEFAULT NULL, `password` VARCHAR(255) DEFAULT NULL, enabled TINYINT(1) DEFAULT NULL, accountNotExpired TINYINT(1) DEFAULT NULL
Spring Security源码分析九:Spring Security Session管理
最新发布
Karka_的博客
05-23 787
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的 Web 页之间跳转时,存储在 Session 对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web 页时,如果该用户还没有会话,则 Web 服务器将自动创建一个 Session 对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。
SpringSecurity添加验证码,对于前后端分离session失效的问题
simg_dragon的博客
09-01 1546
最近在写一个前后端分离项目,在写到登录时添加验证码,遇到了一个问题: 在后端获取验证码的值存到session里,但在前端发请求进行验证码验证时取出来的session是空的。 debug后发现是因为前后端分离每次axios发请求都是新的session(因为session的跨同源策略),导致无法获取之前的session信息,博主一顿好找,终于发现要在跨域配置的配置类里允许添加认证信息,接下来贴上代码 后端: @Configuration class CORSConf { @Bean public
SpringBoot整合Spring Security实现前后端分离登录权限处理
z132411的博客
04-29 3162
前言 首先要感谢这位博主得分享,根据他的博客,直接就可以依照参考将权限模块处理成功,这里我就不讲述spring Security的一些概念了,相信有的博主写的更好,或者直接去官网查看Spring Security,想看这位博主连接的直接跳转查看,原文连接: Springboot + Spring Security 实现前后端分离登录认证及权限控制_I_am_Rick_Hu的博客-CSDN博客_springsecurity前后端分离登录认证 目录结构: 首先这是我的目录结构: 前期工作: 1.
解决前后端分离 vue+springboot 跨域 session+cookie失效问题
10-17
前后端分离的架构中,Vue.js作为前端框架与Spring Boot作为后端服务进行交互时,常常会遇到跨域和Session、Cookie失效的问题。本文将详细介绍如何解决这些问题。 首先,跨域是由于浏览器的安全策略限制,同一源...
Spring Security 实现短信验证码登录功能
08-19
在本文中,我们将深入探讨如何使用Spring Security框架实现短信验证码登录功能。Spring Security是一个强大的安全框架,用于管理和保护Web应用程序的访问控制。在传统的用户名密码登录方式之外,短信验证码登录提供...
如何基于spring security实现在线用户统计
08-19
spring-security.xml 文件中,我们需要添加 session-management 配置,以便使用 session 注册跟踪,并实现显示系统中当前活跃用户的数量。 ```xml <s:session-management invalid-session-url="/timeout"> ...
Spring Boot+Vue前后端分离项目练习02之网盘项目利用token进行登陆验证
03-02
这种方式相比传统的session更适用于前后端分离的应用,因为它减少了服务器的内存负担,并允许跨域请求。 在实现过程中,我们可以使用Spring Security来增强Spring Boot的安全性,它提供了完整的安全控制层,包括...
SpringSecurity+OAuth2+SSO.pptx
05-30
但是在搞一段时间啊后发现自己越走越黑,越走越远,总结下来自己对协议理解还是不够透彻,对之前理解的前后端分离的SSO还是止步于session的交互方式。在涉及到多个域之间换取token还是有一些问题
SpringBoot2.0前后端分离开发之用户身份认证实战 (后端实现)
06-15
课程简介:本课程主要是跟各位小伙伴分享、介绍并实战两大核心的用户身份认证(接口鉴权)模式,即基于Token的认证模式 以及 基于Session的认证模式,其中 (1)   基于Token的认证模式 则主要介绍了三种核心、主流的认证模式,即基于Token+数据库、基于Token+缓存中间件Redis、基于Token+JWT的认证模式。 (2)   基于Session的认证模式 也主要介绍了三种核心、主流的认证模式,即基于原生Spring Session以及Session共享的认证模式、基于Shiro Session的认证模式、基于Shiro + Redis 的Session共享认证模式 即课程的整体介绍如下图所示: 核心技术栈列表: 值得介绍的是,本课程在技术栈层面涵盖了“用户身份认证”、“接口鉴权”等业务场景常用的大部分技术,包括Spring Boot2.x、Spring MVC、Mybatis、加密解密算法AES、雪花算法Snowflake、统一验参工具ValidatorUtil、JWT(Json Web Token)、缓存中间件Redis、Shiro(身份认证与会话等等)、
前后分离session_SpringBoot2.0前后端分离开发之用户身份认证实战(后端实现)
weixin_31309557的博客
01-25 852
历经两三个星期的时间,Debug亲自撸的 “SpringBoot2.0前后端分离开发之用户身份认证实战(后端实现)” 终于完成了。正如字面意思,本课程讲解的是在当前微服务、分布式系统架构时代,前后端在进行接口交互、服务与服务之间在进行接口交互时如何对用户的身份进行认证,即如何进行鉴权!本课程主要是跟各位小伙伴分享、介绍并实战了两大核心的用户身份认证(接口鉴权)模式,即基于Token的认证模式 以及...
Spring-boot】前后端分离跨域以及session问题
zhzhl
11-28 4807
一、后端 @Configuration public class CorsConfig { @Bean public WebMvcConfigurer corsConfigurer() { return new WebMvcConfigurer() { @Override //重写父类提供的跨域请求处理的接口 ...
SpringBoot+SpringSecurity+SpringSession实现一个前后端分离的权限管理系统
热门推荐
Linch的博客
05-05 1万+
这里SpringBoot用2.0.5版本 一、准备工作 1、主要依赖如下: dependencies { compile('com.alibaba:druid:1.1.5') compile('com.baomidou:mybatis-plus-boot-starter:2.2.0') compile('org.springframework.boot:s...
spring security登录前后sessionId不一致
fggdgh的博客
04-07 1668
spring security为了防止固定回话攻击会一直修改sessionId,所以在登录前存在session里的数据在登录后是获取不到的。为了解决这种情况可以监听session的变化做相应的更改。 @WebListener public class SessionListener implements HttpSessionListener, HttpSessionIdListener { @Override public void sessionCreated(HttpSession
前后端分离session问题的处理与设计
小张的博客
04-18 2556
前后端分离项目中session问题的处理,并且使用token进行用户信息的验证和维护
Spring Security前后端分离配置以及自定义图片验证码和短信验证码登录功能
weixin_45763051的博客
07-28 1161
自定义图片验证和验证码验证 文章目录自定义图片验证和验证码验证Spring Security原理自定义登录自定义验证成功处理器自定义验证失败处理器匿名访问(未登录访问)处理器访问权限拒绝处理器登出成功处理器security配置数据库查询用户服务自定义图片验证码图片验证码自定义验证异常随机生成验证码图片验证码过滤器获取验图片证码接口自定义短信验证码短信验证码过滤器SmsAuthenticationTokenSmsAuthenticationProvider配置短信验证码流程到spring security获取
SpringSecurity根据sessionid获取用户信息
qq_41831534的博客
06-07 1616
SpringSecurity根据sessionid获取用户信息
spring security elementui前后端分离登陆
05-24
Spring Security和ElementUI可以很好地配合使用,实现前后端分离登录。 首先,你需要在Spring Boot中集成Spring Security。可以通过引入spring-boot-starter-security依赖来实现。在配置类中,你需要实现...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值