SpringSecurity的第二次免授权登录

最新推荐文章于 2024-06-21 10:57:12 发布
最新推荐文章于 2024-06-21 10:57:12 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: Spring系列 文章标签: spring springSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/apache_z/article/details/121361531
版权

现象

在项目集成springSecurity之后,第一登录之后,用户的请求都是直接访问的,用户的信息在后台都是可以通过SecurityContext获取。

推测

在第一次登录成功之后,会将用户信息存储到session中,用户之后的请求,会通过sessionID查询session,然后通过sessionId获取session对象,然后从session对象中获取SecurityContext数据,然后将数据放入SecurityContextHolder中。后面就可以直接获取到对应的用户数据。

具体实现

第一次登录成功

登录成功之后,在AbstractAuthenticationProcessingFilter中的successfulAuthentication方法。调用SecurityContextHolder.getContext()的setAuthentication方法,会将我们验证成功的那个Authentication放到SecurityContext中,然后再放到SecurityContextHolder中。然后还会调用我们自定义的successHandle。

在请求处理完回来之后,过滤链依次返回,知道退回到第一个过滤器SecurityContextPersisenceFilter中,

finally{
	//1、查询上下文中是否包含认证信息
	//2、有的话,放入session中
	repo.saveContent(...);
}

第二次请求

首先被过滤链的第一个过滤器SecurityContextPersisenceFilter拦截,在代码块中

//1、首先获取session中SecurityContext
SecurityContext contextBeforeChainExecution = repo.loadcontext(...);
//2、将Context放入SecurityHolder中
SecurityHolder.setContext(contextBeforeChainExecution );
//3、继续下一个过滤器
chain.doFilter(...);

通过第一次过滤器,上下文中就会包含用户认证的信息。

参考

DefaultSecurityFilterChain查看所有的Filter器,也会在日志中打印

博客地址

贝多芬也爱敲代码
关注
专栏目录
spring-security-study
03-19
1. **OAuth2整合**:Spring Security支持OAuth2协议,可实现第三方应用的授权接入。 2. **SSO单点登录**:通过CAS、SAML等方式,实现在多个应用间的一次登录。 3. **自定义认证与授权**:开发人员可以根据需求扩展...
spring Security 的 OncePerRequestFilter 被调用两次
qq_46506007的博客
04-06 1062
spring Security 的 OncePerRequestFilter 被调用两次 现象:当登录没有token的时候,这个过滤器执行了一次,有token的时候,执行两次,debug的时候特别牛逼,当时可能断点打错了,找了好久,原因是容器里面有两个OncePerRequestFilter 导致的。第一我加了@Component 注解 第二我还傻傻的一个方法又创建了一个 用@Bean 注解,导致有两个对象。我是如何不经意创建了两个对象。
若依 关于 springsecurity 不用密码登录,自定义第三方登录登录
u012943721的博客
08-29 5036
用的是若依的前后端分离的版本,项目接口是给小程序用 openid 直接登录。他这是根据用户名和密码进行比对、由于密码没办法转换成明文。只能改成如下方法登录
Spring Security6 设置登录接口地址
最新发布
浪子天涯行世录
06-21 425
1. 在SecurityFilterChain中设置登录接口地址。如果定义了多个SecurityFilterChain,并且前面的SecurityFilterChain里使用了anyRequest().authenticated(),后面的登录可能会失效。2. 使用WebSecurityCustomizer设置登录接口地址。这里设置的登录接口地址是优先于SecurityFilterChain进行判定的。
springsecurity登录页面执行了两次
qq_44989936的博客
03-13 1166
如果页面有登录的url,比如login,即使这个页面不是登录界面,f12依旧也会有login.html 点击这个url,controller就会执行两次 解决办法: 使用其它url,比如自定义的是login,你就使用loginto,这个loginto不要permitAll(),点击主动跳到登录界面 温馨提示:html 图片url没有或者错误也会导致多次访问 ...
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8843
spring security单点登录跳过密码验证
springBoot+springSecurity实现登录认证(不包含授权
qq_28047315的博客
03-23 645
该例中用户信息从内存中加载,并且选择不加密的密码编码器。 引入依赖(默认springBoot依赖已存在) compile 'org.springframework.boot:spring-boot-starter-security' 创建配置类继承WebSecurityConfigurerAdapter @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { //定义内存用户信
Packtpub.Spring.Security.3.May.2010.
09-18
### Spring Security 3:保护 Web 应用受恶意入侵 #### 一、Spring Security 概述 Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,它为 Java 开发者提供了一套全面的安全解决方案。从 ...
Spring in action 中文第二版(完整版)
12-07
Spring in Action》中文第二版是一部深度探讨Spring框架的权威指南,它全面覆盖了Spring的各个方面,旨在帮助Java开发者熟练掌握并应用Spring进行高效开发。本篇内容将深入解析书中的核心知识点,以便读者能够更好...
一款基于SSM+Zookeeper+Dubbo+Spring Security技术栈的应用于健康管理机构的业务系统.zip
08-20
6. **Spring Security**: 作为一个强大的安全框架,Spring Security提供了一整套认证和授权机制,保护应用程序受常见安全威胁。在健康管理系统的背景下,Spring Security可以实现用户登录验证、权限控制等功能,...
spring security 认证授权详解
小趴菜不能喝的博客
10-14 1323
详细介绍spring security认证授权流程
Springboot集成security,自定义@Anonymous标签实现登录鉴权
evil_lrn的博客
02-16 5253
首先,项目springboot使用了2.6.8版本,集成security的过程中,使用了比较严格的自定义策略,任何请求都需要认证和授权,判断用户是否有查询改接口的权限。并且提供了配置或者注解两种方式提供匿名访问的接口。引起需要收集@Anonymous注解标注的controller。于是就像参照spring启动扫描注解的方式实现,然后自定义了。参照spring scan。第二种使用自定义注解。
Spring Security权限控制
qq_41783386的博客
07-27 1609
spring security权限控制
security配置用户登录,不含安全请求验证
qq_45786340的博客
05-08 1316
配置User类,实现UserDetails接口 @Override public String getUsername() { return username; } @Override public boolean isAccountNonExpired() { return true; } @Override...
controller层_使用Spring Security做方法层的权限拦截
weixin_39541212的博客
11-26 1614
Spring Security中可以通过Authentication(认证)和Authorization(授权)的功能,识别用户身份并完成用户授权。通常的做法是在用户访问某些资源时,通过拦截器方法确认用户身份,如果当前用户身份不明(未登录或者是匿名用户)且被访问资源是非公开资源时,系统会强制跳转至登录页面,在用户登录完成后再跳转回原地址,继续访问资源。这些拦截功能基本都是使用Filter...
Spring security 4.1 登录成功后重复进行认证问题
qq519805712的专栏
05-06 4621
问题场景: 登录成功后,在执行某个功能操作(例如:系统管理模块的删除功能时),会去执行UserDetailsService.loadUserByUsername 再次进行用户认证。 出现问题版本 Spring security 4.04  、 4.10 通过源码分析发现BasicAuthenticationFilter.authenticationIsRequired(usernam
Spring Security第一次登录正常,第二次有token的时候就403错误
qq_38410795冰淇淋的博客
04-04 800
解决:把anonymous()改成.permitAll()表示:有没有认证都能访问:登录或未登录都能访问。anonymous()是匿名用户可访问,认证用户不能访问!
SpringSecurity 登录方法
weixin_38982591的博客
01-29 2317
需求:做微信公众号扫码登录的时候发现,我们通过微信用户的openID获取后台用户的账号,但是密码是加密放到数据库且不能逆向解密,这时就应该跳过密码认证。添加自定义校验 # MyAuthenticationProvider。
Spring Security实现Oauth2授权详解
在设置Spring Security Oauth2时,我们需要添加相应的Maven依赖,如`spring-boot-starter-web`用于Web支持,`jackson-datatype-joda`用于JSON序列化,以及`thymeleaf-extras-springsecurity4`为Thymeleaf模板引擎...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

贝多芬也爱敲代码

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值