SpringSecurity放行接口之后,接口里拿不到用户信息

最新推荐文章于 2024-01-17 10:00:45 发布
最新推荐文章于 2024-01-17 10:00:45 发布
阅读量1.4k 收藏 4
点赞数
分类专栏: Security SpringBoot 文章标签: java web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/curtisjia/article/details/119254575
版权

目录

前言

项目使用的是security安全框架,今天打开项目发现有个接口报npe很奇怪。于是看了下是SecurityContextHolder获取用户信息时候获取不到用户信息了。这个情况以前没有出现过,所以问了下我们项目组长,他说有没有可能是放行接口的原因。为此我专门研究了一下~

分析原因

我们的放行方式是:

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**","/js/**","/index.html","/img/**","/fonts/**","/favicon.ico","/verifyCode");
}

其实我也一直没搞清楚,这种放行方式和permitAll放行有什么区别?

正常这样配置是没有问题的。
如果你很不巧,把登录请求地址放进来了,那就 gg 了。虽然登录请求可以被所有人访问,但是不能放在这里(而应该通过允许匿名访问的方式来给请求放行)。如果放在这里,登录请求将不走 SecurityContextPersistenceFilter 过滤器,也就意味着不会将登录用户信息存入 session,进而导致后续请求无法获取到登录用户信息。

解决方法

就是在上面以匿名访问的形式放行就解决了!代码我就不贴了,因为我手里没有代码,就是用annou。。。什么的去放行

@Configuration
public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin() // 表单方式
                .and()
                /**就在这写**/
                .authorizeRequests() // 授权配置
                .anyRequest()  // 所有请求
                .authenticated(); // 都需要认证
    }
}

参考

https://blog.csdn.net/u012702547/article/details/105237938

朝花不迟暮
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于spring security 放行url后安全上下文拦截用户信息失效问题
burger1221的博客
10-22 1875
今天定位到的一个问题,mark一下。 如果在WebSecurityConfigurerAdapter中配置了permitAll的URL,后端拦截的时候将无法从安全上下文中提取用户信息
ThradLocal原理解析及SpringSecurity无法在子线程中获取上下文信息解决
Simpier的博客
10-07 1717
ThradLocal原理解析及SpringSecurity无法在子线程中获取上下文信息解决
Security选项卡无法连接到数据库解决办法
jetluning的专栏
03-08 936
WAT中Security选项卡无法连接到数据库解决办法         WAT是 Web Site Administration Tool 的缩写, 它在VS->Project->ASP.NET Configuration.         在"设计基于Forms的身份验证"(P408)一节中, 按照步骤做下来发现在WAT的Security选项卡显示"Unable to c
奇怪,Spring Security 登录成功后总是获取不到登录用户信息
热门推荐
江南一点雨的专栏
04-01 1万+
有好几位小伙伴小伙伴曾向松哥求助过这个问题。 一开始我觉得这可能是一个小概率 BUG,但是当问的人多了,我觉得这个问题对于新手来说还有一定的普遍性,有必要来写篇文章跟大家仔细聊一聊这个问题,防止小伙伴们掉坑。 1.问题复现 如果使用了 Spring Security,当我们登录成功后,可以通过如下方式获取到当前登录用户信息SecurityContextHolder.getContext()....
SecurityContextHolder.getContext()获取不到Security上下文数据?
本人的技术和文笔有限,正在努力成长中,请各位朋友多多指正与包涵!
05-08 1805
在使用 MODE_INHERITABLETHREADLOCAL 安全策略时,您需要小心处理多线程环境下的安全性问题,以避免出现数据竞争、死锁等问题。同时,这种模式可能会对应用程序的性能产生一定的影响,因为它需要通过序列化和反序列化来传递安全上下文信息。因此,在使用 MODE_INHERITABLETHREADLOCAL 安全策略时需要小心,确保在必要的情况下使用它,以避免性能问题。我的项目中出现这个问题是由于使用了异步线程(如下),导致Security上下文无法从主线程传递到异步线程中。
spring security 报错 权限登录接口不到
程序圆的博客
05-20 6232
报错 链接: vue-element-admin-template 登陆报500超时错误 解决方案. 之前写的 这篇文章是使用的模拟登录接口返回进行登录到后台,展示后台页面的 现在整合spring security用自己的权限管理框架去实现后台的认证和授权管理 遇到了以下问题 工程目录结构 疑惑:后台是没有对应的 admin/acl/login 处理控制器的 是spring security 处理了 /** * <p> * 登录过滤器,继承UsernamePasswordAuthent
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...
springsecurity3 入门案例
06-09
SpringSecurityJava领域中一款强大的安全框架,主要用于处理Web应用的安全问题,如用户认证、授权等。本入门案例将引导你逐步了解并掌握SpringSecurity3的基本使用和执行流程。在这个过程中,我们将探讨以下核心...
02_用户模块和加入样式和spring对静态文件的放行
04-26
标题“02_用户模块和加入样式和spring对静态文件的放行”涉及到的是Web开发中的关键概念,尤其是关于Spring框架处理用户模块、样式表(CSS)以及静态资源的访问控制。这一主题主要涵盖以下几个核心知识点: 1. **...
SpringCloud实现SSO 单点登录的示例代码
08-26
5. **用户信息校验与获取**:SSO服务器负责验证用户信息,从Redis中获取并操作用户信息,并提供相关接口供其他服务调用。 在代码编写方面,我们需要做以下工作: 1. **创建SSO服务器**:建立一个名为`sso-server`...
spring-boot-jwt.zip
12-04
Spring Boot + JWT 实现接口统一Token认证》 在现代Web开发中,安全性和权限管理是不可或缺的部分。Spring Boot作为Java领域最受欢迎的微服务框架,提供了丰富的安全支持。结合JWT(JSON Web Token),我们可以...
SpringSecurity无法获取登录参数
pengshisong的博客
10-08 6688
使用spring4.3.*.RELEASE版本+springsecurity4.*.RELEASE版本+ apache-tomcat-9.*版本 验证登录时,使用Post请求,后台无法获取请求体的参数。 前端发起请求,如下图: Springsecurity配置,如下:   登录时,会出现无法获取到请求体的参数username和password的值。 如下图为Springsecu...
资源服务器获取用户信息,java - Spring Security OAuth2资源服务器无法获取包含详细信息的主体 - 堆栈内存溢出...
weixin_39715187的博客
08-05 536
我使用OAuth2创建了资源服务器,并且在成功通过身份验证后,当然无法检索Principal对象。 我可以看到主体用户名,但没有任何详细信息。 我应该如何配置资源或身份验证服务器以传输所有用户信息?我准备了两个微服务,一个作为授权服务器,第二个作为资源服务器。 在应用程序之间正确配置了身份验证。 他们两个都使用Spring Security Cloud OAuth2, 问题是要转移所有Pr...
关于Spring Security 3中取不到用户信息的问题
10-29 803
原文地址:http://blog.csdn.net/jjk_02027/article/details/6544889
使用spring security登陆之后查询数据被禁止
luguangrui_520_123的博客
04-16 393
用户登陆之后没有跳到登陆失败的页面,点击查询数据会显示被禁止,百度说出现这个错误也是没有登陆进去。我设置断点把用户的密码和权限调试出来。 org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.Affirmativ...
在微服务中使用Fegin进行内部调用无法获取用户信息
最新发布
Javalearnibg的博客
01-17 628
可以直接使用SecurityContextHolder.getContext().getAuthentication();获取当前token并传递给下游服务。
解决使用SpringSecurity产生的跨域接口调用失败问题
ls490447406的博客
11-26 1689
最近项目使用SpringSecurity作为服务鉴权框架,但是由于前后端分离,在前后端分别部署在不同的服务器导致产生跨域问题,其实简单的跨域问题,通过设置参数就很好解决,但是在使用了Security时,设置了参数依然调用接口时候被拦截,报401错误,提示登录。后来发现,在调用正式接口之前,会首先发出一个试探请求,请求方式为OPTIONS,但是这个试探请求是无法将请求所需要的token等一些信息放...
Spring Security OAuth2.0_实现分布式认证授权_扩展用户信息_Spring Security OAuth2.0认证授权---springcloud工作笔记156
添柴程序猿的专栏
01-12 338
技术交流QQ群【JAVA,C++,Python,.NET,BigData,AI】:170933152 然后我们现在其实还有个问题. 我们在我们的资源微服务中的方法中,只能拿到登录用户的用户名对吧,这样很不好, 我们要是用用户的其他信息怎么办呢对吧. 之所以,我们在资源微服务中只能获取到用户的用户名,是因为 这我们在授权微服务的,userdetailservice中,只放了username进去对吧,但是实际上,这我们可以把用户的信息 转成一个json字符串,把所有信息都放进去对吧.
sqli-labs Unable to connect to the database: security 解决办法
Sir_____W_a_n_g的博客
03-09 846
sqli-labs Unable to connect to the database: security 解决办法
如何让拦截器不拦截放行指定接口
07-13
要让拦截器不拦截放行指定接口,你可以在拦截器中添加条件判断逻辑。具体步骤如下: 1. 首先,创建一个自定义的拦截器类,实现 HandlerInterceptor 接口。 2. 在该类中,重写 preHandle 方法,该方法会在请求处理之前被调用。 3. 在 preHandle 方法中,可以通过 request 对象获取当前请求的 URL 或其他信息。 4. 判断当前请求的 URL 是否是需要放行接口。 5. 如果是需要放行接口,直接返回 true,表示放行。 6. 如果不是需要放行接口,可以进行其他操作,比如进行身份验证、权限校验等。 以下是一个示例代码: ```java public class CustomInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception { String requestUrl = request.getRequestURI(); // 判断当前请求的 URL 是否是需要放行接口 if (requestUrl.equals("/api/allow")) { return true; // 放行 } // 进行其他操作,比如进行身份验证、权限校验等 return false; // 不放行 } // 其他方法略... } ``` 在上述示例中,请求 URL 为 "/api/allow" 的接口将被放行,而其他接口将进行身份验证等操作。你可以根据实际需求修改判断逻辑,来实现拦截器的放行指定接口功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值