spring security中ajax超时处理

最新推荐文章于 2023-03-18 14:37:42 发布
最新推荐文章于 2023-03-18 14:37:42 发布
阅读量509 收藏 1
点赞数
分类专栏: spring security 文章标签: spring security spring security ajax超时访问
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fu_huo_1993/article/details/88350149
版权

   spring security为我们的系统提供了方便的认证和授权操作。在系统中完成认证和授权后,一般页面页面上大多数是ajax和后台进行操作,那么这个时候可能就会面临session超时,ajax去访问后台的操作。或用户ajax匿名去访问一个受限的操作,此时应该如何进行处理。

   面对以上可能发生的2中情况,我们可能希望进行统一的处理,将此次ajax请求导向登录界面。

1. 当用户session超时后,使用ajax进行访问
    可以知道是SessionManagementFilter中的InvalidSessionStrategy进行处理的
2. 当用户是匿名用户访问,且session是新建的时候,访问了系统中的受限资源
    可以知道是ExceptionTranslationFilter中的handleSpringSecurityException进行处理
handleSpringSecurityException
        |- 匿名用户将使用 authenticationEntryPoint 进行处理
|- 非匿名用户使用 accessDeniedHandler 进行处理
具体的处理思路如下:
    1、拦截全局ajax请求
    2、重写InvalidSessionStrategy,增加ajax请求的处理
    3、重写AuthenticationEntryPoint增加ajax请求的处理
具体步骤:
一、拦截全局ajax请求
       判断 后台返回的值是否是  session-time ,如果是则直接将该请求 导向登录请求 
$(document).ajaxComplete(function (event, obj) {
    var response = obj.responseText;
    if (response === 'session-timeout') {
        location.href = ctx + '/back/forward/login';
    }
});
二、 当session超时后去,ajax请求访问后台,此时会被SessionManagementFilter进行拦截,由下图中可知,此时需要 重写 InvalidSessionStrategy 类。

  
@Slf4j
public class SimpleAjaxAndRedirectInvalidSessionStrategy implements InvalidSessionStrategy {

	private final String destinationUrl;
	private final RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
	private boolean createNewSession = true;

	public SimpleAjaxAndRedirectInvalidSessionStrategy(String invalidSessionUrl) {
		Assert.isTrue(UrlUtils.isValidRedirectUrl(invalidSessionUrl), "url must start with '/' or with 'http(s)'");
		this.destinationUrl = invalidSessionUrl;
	}

	@Override
	public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
		if (Objects.equals(request.getHeader("X-Requested-With"), "XMLHttpRequest")) {
			response.setContentType("text/html;charset=utf-8");
			response.setCharacterEncoding("utf-8");
			response.getWriter().write("session-timeout");
			response.getWriter().close();
		} else {
			log.debug("Starting new session (if required) and redirecting to '" + destinationUrl + "'");
			if (createNewSession) {
				request.getSession();
			}
			redirectStrategy.sendRedirect(request, response, destinationUrl);
		}
	}

	/**
	 * Determines whether a new session should be created before redirecting (to avoid
	 * possible looping issues where the same session ID is sent with the redirected
	 * request). Alternatively, ensure that the configured URL does not pass through the
	 * {@code SessionManagementFilter}.
	 *
	 * @param createNewSession defaults to {@code true}.
	 */
	public void setCreateNewSession(boolean createNewSession) {
		this.createNewSession = createNewSession;
	}
}
  注:一般ajax请求都有一个请求头X-Requeseted-With,且它的值是XMLHttpRequest
       如果涉及到跨域可能没有这个请求头,那么我们可以重写ajax请求加上一个自定义的请求头,只要能判断出ajax请求即可。
三、session是新建的,用户是匿名用户,此时ajax请求是访问一个受限的方法,由下图可知,此时需要重写 AuthenticationEntryPoint

public class HandleAnonyAuthenticationEntryPoint extends LoginUrlAuthenticationEntryPoint {

	/**
	 * @param loginFormUrl URL where the login page can be found. Should either be
	 *                     relative to the web-app context path (include a leading {@code /}) or an absolute
	 *                     URL.
	 */
	public HandleAnonyAuthenticationEntryPoint(String loginFormUrl) {
		super(loginFormUrl);
	}

	@Override
	public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
		if (Objects.equals(request.getHeader("X-Requested-With"), "XMLHttpRequest")) {
			response.setContentType("text/html;charset=utf-8");
			response.setCharacterEncoding("utf-8");
			response.getWriter().write("session-timeout");
			response.getWriter().close();
		} else {
			super.commence(request, response, authException);
		}
	}
}
  四、spring secuirty 配置文件中增加这2个ajax 操作的处理

 
huan_1993
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security 参考手册文版
02-01
9.5 Spring Security访问控制(授权) 84 9.5.1安全和AOP建议 84 9.5.2安全对象和AbstractSecurityInterceptor 85 什么是配置属性? 85 RunAsManager 86 AfterInvocationManager 86 扩展安全对象模型 87 9.6本地...
Spring Security登录超时,angular ajax请求出错自动跳转至登录页(jQuery也适用)
weixin_33882452的博客
07-18 219
  公司开发采用Spring Security+AngualerJS框架,在session过期之后,ajax请求会直接出错。本文介绍如何实现出错情况下自动跳转至登录页。   整体思路是,session过期后,ajax请求返回401 unauthentication错误,前端对$http服务添加拦截器,对401错误进行跳转处理,跳转至登录页。   由于session过期,需要验证的请求(不论是不...
springboot + security 自定义session过期处理方式
热门推荐
mushuntaosama的博客
12-27 2万+
security校验session校验是在ConcurrentSessionFilter,在doFilter方法里可以看到如果session过期会执行方法this.doLogout(request, response); this.sessionInformationExpiredStrategy.onExpiredSessionDetected(new SessionInformationExpi
SpringSecurity session超期后返回前端401错误码
树洞树洞-单纯记录
07-09 3132
想要实现的场景:前后端分离项目,后端session过期后,访问接口返回401 unauthentication错误给前端,前端对401错误进行跳转处理,跳转至登录页。 由于session过期,需要验证的请求(不论是不是Ajax请求)会返回302重定向,因此我们先配置Spring Security使之能对ajax请求返回401错误 1、实现自定义的RequestMatcher,匹配Ajax请求(...
ajax 调用后台 session 过期问题(Spring security
Richard_Melody的专栏
05-24 2378
最近在项目用到了Ajax刷新
spring securityajax请求的session超时处理
01-05 162
当前端在用ajax请求时,如果没有设置session超时时间并且做跳转到登录界面的处理,那么只是靠后台是很难完成超时的一系列动作的;但是如果后台 没有封装一个ajax请求公共类,那么在ajax请求上下功夫解决session超时的问题是不行的,只有考虑在后台或者前台通过全局来进行对ajax请求超时处理了。 本人用的是spring security处理的,想只通过后台来进行处理...
SpringBoot-Web-Mvc-Security:以Spring方式构建企业Java应用程序
01-30
搜索和排序数据使用select2 ajax远程数据的分页结果发送带有附件的电子邮件模板多种语言的Web应用程序生成PDF和Excel文件使用Ajax以一种形式上传数据和文件建立和运行mvn packagejava -jar SpringBoot-0.0.1-...
SessionTimeOutAjaxRequest:当浏览器触发 Ajax 请求时,如何检测用户会话超时
06-08
[Spring Security 第六部分:Ajax 调用的会话超时处理] ( ) 安装 安装 使用 mvn clean install 编译项目 从 Maven 运行 Jetty:mvn jetty:run 用法 在连接到应用程序 默认用户是“ddoan/password”,但您可以在 ...
DWR.xml配置文件说明书(含源码)
01-15
一种情况是因为DWR1.0的解析器有个Bug,在有些场合会无法处理返回值的类型.所以应该要避免这种情况的发生. 一种情况是因为解析器是一个语法宽松的解析器,他不象编译器一样对语法有非常严格的要求,所有有时可能一些...
Spring Boot+SpringSecurity Session超时处理
【欢迎关注公众号:冬瓜白】
07-15 2万+
Session超时处理首先要设置Session超时时间。查看Spring Boot2.0官网文档,可以看到设置Session超时时间还是很简单的:在yml文件:设置为10秒:简单测试一下,看是不是有效果:系统登陆成功后,访问一个Controller:...
jQuery ajax全局函数处理session过期后的ajax跳转问题
10-22
主要介绍了基于jQuery的全局ajax函数处理session过期后的ajax操作的相关资料,需要的朋友可以参考下
springsecurity+vue解决跨域以及session问题
m0_63040701的博客
03-18 1213
最近在写一个前后端分离项目,后端我采用的是java作为服务端,前端我用vue3进行的开发,主要是想写一套后台管理系统,后端采用springsecurity进行权限控制访问后端我当时是用postman进行测试开发的,再此并无任何问题。但是,当我把vue3前端的内容写的差不多进行前后端交互时,问题产生了!!!!首先,就是跨域问题,用axios向后端发送请求时一直显示跨域!!!!
关于spring security session失效,ajax报错的解决
lilovfly的专栏
09-23 1829
今天发现spring security 保存的用户名,把一些特殊符号转义,今天发现通过 reques的方式取到发现下划线转移了,这个问题也是无意间看到了。     关于session失效后,spring security  ajax请求受限的资源会出现,例如:    $.ajax({ type: 'POST',   url: url,   data: data,   success:
Spring Security管理下的ajax请求登录超时问题处理
芒果先生
11-06 3885
在系统通常有这样的情况, 在系统通常有这种情况,我们在发送ajax请求时,由于长时间没操作系统,用户登录的session超时了,因此通过ajax得到的结果,直接就是登录页面的html代码,但浏览器并没有跳转到登录页面或者提示用户登录超时
解决spring-security session超时 Ajax 请求没有重定向的问题
weixin_33735077的博客
09-06 234
开始时, 代码是这样的:  $.ajax({ type : "POST", url : sSource, cache : false, dataType : "json", data : aoData, success :...
【学习、总结】Spring security 登陆超时处理
weixin_33824363的博客
10-19 1284
目标: 用户登陆超过一定时间,在页面做请求时,提示类似登陆已超时,请重新登陆信息。 实现: 1.超时时间配置(web.xml): <session-config>     <!-- 10分钟 -->  <session-timeout>10</session-timeout> <tra...
Springf Security】入门篇-设置session超时和阻止并发登录
qq_42980244的博客
08-19 944
访问一些网站时登录成功后,网站可以记住用户,且在退出之前都可以识别当前用户是谁。 设置session超时时间 server: servlet: session: timeout: 60 #设置超时时间60s 设置session超时之后跳转 http.sessionManagement().invalidSessionUrl("/session/invalid") controller上加个方法,url对应/session/invalid 测试如下: 2.同一
Spring Security文文档
最新发布
09-07
在使用不带Spring Boot的Spring Security时,可以利用Spring Security的BOM来确保在整个项目使用一致版本的Spring SecuritySpring Security还增加了对持续Spring Security相关课程的支持,特别是在使用分布式...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值