SpringSecurity采坑记录——404导致有效token被认为无效

最新推荐文章于 2024-07-25 11:59:12 发布
最新推荐文章于 2024-07-25 11:59:12 发布
阅读量3.1k 收藏 1
点赞数
分类专栏: SpringSecurity 文章标签: spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/du87680258/article/details/123677122
版权

问题

昨天遇到了一个大坑,接手一个现有的项目使用的SpringSecurity的,本地跑起来之后postman调接口 token一直认证不了,但是用相同的token在dev服务器端访问确可以通过(本地和dev环境连的同一个redis)。

原因

先直接说原因:我postman调用的url不对,这个项目包含十几个微服务,都有context-path的配置,唯独这个服务没有,我postman调用时想当然的给加了context-path,实际上是404。
或许你会问,怎么连404都看不出来,然而是实际上我拿到的响应是这样的:
在这里插入图片描述

分析过程

我可以很确定这个token有用,在dev环境试过了。所以从 SecurityFilterChain找到包含的所有过滤器,挨个进行了debug:
在这里插入图片描述
重点关注了ExceptionTranslationFilter、OAuth2AuthenticationProcessingFilter这两个Filter,前者是对SecurityFilterChain中发生异常的全局处理,后者则是认证token的逻辑,然而所有逻辑都正常,没有抛出任何异常。当跳过所有断点后,又来了一遍请求:
在这里插入图片描述
什么鬼,怎么又走了一遍/error,由于SpringSecurity默认的登录/登出url是/login和/logout,再加上postman返回的invalid_token信息,我想当然的以为是Security做的逻辑处理,这个/error是由security重定向的。因此我的思路一直在于Security为什么和Security什么时候发生的这次重定向,实在是发现不了问题。
后来我索性从DispatcherServlet开始进行debug,在org.springframework.web.servlet.resource.ResourceHttpRequestHandler#handleRequest方法中发现了问题:
在这里插入图片描述
这不就是404嘛。一路从org.springframework.security.web.util.OnCommittedResponseWrapper#sendError(int)debug到javax.servlet.http.HttpServletResponseWrapper#sendError(int) 再debug到org.apache.catalina.connector.ResponseFacade#sendError(int)最后到
org.apache.catalina.connector.Response#sendError(int, java.lang.String)
在这里插入图片描述
确实在Response的响应码被写成了404,随后,在ApplicationDispatcher中,我跟踪到了/error的请求:
在这里插入图片描述

升级中的小码农
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Spring Security 6.x 系列(12)—— Form表单认证登录注销自定义配置
gmHappy
12-23 5485
在本系列文章中介绍了 `Form` 表单认证和注销流程,对部分源码也进行详细分析。 本章主要学习 `Spring Security` 中表单认证登录注销的相关自定义配置。
Spring Security(四) —— RememberMe
eyes++的博客
07-25 1344
RememberMe即记住我,常用于Web应用的登录页目的是让用户选择是否记住用户的登录状态。当用户选择了RememberMe选项,则在有效期内若用户重新访问同一个Web应用,那么用户可以直接登录到系统中,而无需重新执行登录操作。具体的实现思路就是通过Cookie来记录当前用户身份。...
Spring Security配置类中设置了.logoutUrl(“/logout“),但是网页访问/logout超链接跳转到404
KTgu1379的博客
06-23 220
/前端访问时,会直接跳转到404页面,登录状态也还在,显然是未访问到对应的路径。
Spring Security(12)——Remember-Me功能
Elim的博客
06-08 9616
本文主要介绍Spring Security的Remember-Me机制,以及如何通过配置实现“记住我”功能。
Spring Security系列(五)——Oauth2使用JWT生成Token无法指定授权范围的解决方法
玖涯博客
02-10 1292
写在前面 Spring Oauth 提供了对 jwt 的支持,要实现 jwt 功能很简单,但是在指定授权范围时将会遇到无法指定授权范围的问题,本文主体描述的是如何解决这个问题。 本文依赖环境: <!-- spring-security-oauth2 2.3.4.RELEASE --> <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>sprin
Spring Security——认证授权的概念、Session, Token的认证区别、授权的数据模型、RBAC实现授权
Guizy
07-21 2650
目录 什么是认证 基于Session的认证方式 基于Token的认证方式 什么是授权 授权的数据模型 RBAC实现授权 一、什么是认证 跳转到目录 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证 相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证:用户认证就是判
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 789
SpringSecurity6 自定义认证过滤器无效
Java零基础——SpringSecurity
m0_47946173的博客
12-04 1933
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
SpringBoot 集成 Spring Security(8)——短信验证码登录
热门推荐
Jitwxs
01-09 3万+
经过前面七章的学习,我们已经算入门 Spring Security 了,下面我们学习如何对 Spring Security 进行扩展,来实现短信验证码方式登录。 注意: 为了方便讲解,本篇文章代码直接在 《SpringBoot集成Spring Security(1)——入门程序》 上进行开发。 并且为了省去与本篇主题无关的代码,短信验证码只是一个模拟。如果你需要具体的实际例子,在下面的源码中除了包...
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2519
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现Token权限控制最佳实战攻略.
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现 SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者...
Springsecurity安全框架案例+多页面登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多页面登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
Spring BootSpring Security和JWT(JSON Web Token)的组合提供了一种高效且灵活的方式来实现权限管理。这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring BootSpring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
Spring Security OAuth 个性化token的使用
08-26
默认情况下,Spring Security OAuth返回的token不包含用户的业务信息,这就会导致系统多次调用,降低系统性能。为了解决这个问题,我们可以使用个性化token,扩展默认的token,包含用户的业务信息。 个性化token的...
SpringBoot整合Elastic-Job 2.1.53版本任务调度,手动任务,动态添加任务演示
小哇
07-23 355
zookeeper安装并成功运行。
SpringBoot添加密码安全配置以及Jwt配置
最新发布
qq_64468032的博客
07-25 736
然后修改之前的SecurityConfig配置类,里面的configure方法里面的.antMatchers里面追加的url是不需要验证就能进行使用的请求,比如登录注册等url请求的放开,需要的话可以一直追加。如果数据库中的密码没有加密,可以通过测试类将密码进行加密,然后用加密之后的字符串与数据库中的数据进行替换即可。通过以下操作可以直接从token中获取用户的信息,然后通过用户的信息进行验证并返回用户需要的信息。在没有配置的情况下,默认用户名为 user ,密码在控制台中查找(如下)。
SpringBoot启动命令过长
tiantiantbtb的博客
07-24 294
Error running 'DromaraApplication': Command line is too long. Shorten command line for DromaraApplication or also for Spring Boot default configuration?
SpringSecurity Jwt Token 自动刷新有效
06-02
Spring Security JWT Token 可以通过在 Token 中设置一个过期时间来实现自动刷新有效期。当 Token 过期前一段时间内,可以通过发送一个请求来触发 Token 的刷新,使其延长有效期。 具体实现可以通过在 Spring Security 的配置中添加一个 TokenRefreshFilter 来实现。该过滤器会检查 Token有效期,如果即将过期,则会发送一个请求到后端来刷新 Token。在 Token 刷新成功后,将新的 Token 返回给前端,并更新当前用户的 Token。 另外,为了保证 Token 的安全性,可以在 Token 中添加一个随机的 Salt 值,每次生成 Token 时都使用不同的 Salt 值,这样可以大大增加 Token 被破解的难度。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值