使用Spring security,遇到从HTTPS页面重定向到HTTP页面时会丢失JSESSIONID的问题

最新推荐文章于 2023-03-08 10:07:23 发布
最新推荐文章于 2023-03-08 10:07:23 发布
阅读量4.7k 收藏 1
点赞数
文章标签: spring security session cookie
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/goodboychina/article/details/17265539
版权


问题重现:

1、  直接输入登录页面地址 https://127.0.0.1/xxxx/login.do

2、  填写用户信息点登陆

3、  页面跳转到欢迎页面http://127.0.0.1/xxxx/welcome.do

4、  此时springsecurity 会提示session是null,并且跳回登录页面。

 

原因:

Tomcat下 HTTPS生产的COOKIE  JSESSIONID是无法通过HTTP传输的,当页面跳转到欢迎页面时,Tomcat由于无法获取到用户的JSESSIONID,会自动创建新的session,因此spring security会认为用户没有登录,然后跳回登录页面。

 

候选解决方案:

1、  用户登录后,全程使用https,直到用户登出。但是会影响效率(加密解密)。

2、  所有http的地址都带上JSESSIONID参数。 但是实现代价较高。

3、  从登录页面到HPPT页面跳转只发生在登录成功的那一刻,默认由类DefaultRedirectStrategy实现跳转动作。 想办法在跳转之前把SESSIONID传递给用户。这个方法一劳永逸,从问题产生的源头解决问题。

 

结论:

采用方案3。

Libresoft
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security Oauth2 SSO单点登录配置及原理深度剖析
银河架构师的博客
06-15 1万+
​单点登录(SingleSignOn,SSO),就是通过用户的一次性鉴别登录。当用户在身份认证服务器上登录一次以后,即可获得访问单点登录系统中其他关联系统和应用软件的权限,同时这种实现是不需要管理员对用户的登录状态或其他信息进行修改的,这意味着在多个应用系统中,用户只需一次登录就可以访问所有相互信任的应用系统。 随着企业各系统越来越多,如办公自动化(OA)系统,财务管理系统,档案管理系统,信息查询系统等,登录问题就变得愈发重要。要记录那么多的用户名和密码,实在不是一件容易的事儿。而为了便于记忆,...
Spring Securtity (九)会话固定攻击和跨站请求伪造
weixin_43189971的博客
07-20 721
1.会话固定攻击概念 2.跨站请求伪造概念 2.1.csrf令牌 2.2.js在其中做了什么
Spring Securityhttpshttp通道过滤器
tanbamboo's blog on javaeye
06-02 356
使用Spring Security的时候,还发现了一个关于httphttps通道的问题。 目的:通过https提交登陆数据,登陆成功后再转换回http问题:开发过程中,使用Jetty作为测试的Web Container,httphttps切换都没有问题,满足需求。但是当部署到Tomcat 5.5后,发现登陆成功后,依旧跳转到登陆页面。 经过跟踪发现,在登陆成功后,从http...
https协议请求后端(spring security框架)时会重定向http,添加X-Forwarded-Proto
青松逸暇
01-27 7272
https协议请求后端(spring security框架)时会重定向http问题描述解决办法原因分析 问题描述 网站使用了nginx做反向代理,设置了所有http请求全部跳转为https。浏览器和nginx之间走的是https,nginx到tomcat走的是http。网站服务端使用的是springboot、springsecurity,认证授权使用springsecurity。网站首页地址是/,登录页地址是/login。在首次打开网站地址https://aaa.com/时,框架拦截自动跳转至http:
Spring Security 表单登录功能的实现方法
08-25
使用 Spring Security,需要将以下 Maven 依赖项添加到项目中: * spring-security-web * spring-security-config 这些依赖项提供了 Spring Security 的核心功能,包括身份验证、授权和加密等。 3. Spring ...
SpringBoot集成Spring Security的方法
08-18
Spring Security 默认提供了一个简单的登录页面,但通常我们需要使用自定义的页面。可以通过重写 `configure(HttpSecurity http)` 方法来自定义安全规则: ```java @Override protected void configure...
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
当用户成功登录后,Spring Security会创建一个名为`JSESSIONID`的Cookie。如果用户下次访问时携带该CookieSpring Security会检查并自动进行登录。如果需要自定义自动登录行为,可以实现`RememberMeServices`接口并...
springsecurity_logout.rar
04-08
5. **安全拦截器**:SpringSecurity的`FilterSecurityInterceptor`会在每个请求之前检查是否已登录,当用户尝试访问受保护的资源而未登录时,会跳转到登出页面。登出URL的访问不会经过这个拦截器,因为它被`...
spring-security使用数据库用户认证
12-10
默认情况下,Spring Security使用基于JSESSIONIDSession管理。但你可以选择实现自己的Token机制,比如JWT(JSON Web Tokens),以实现无状态认证。 10. **测试与调试** 利用Spring Security提供的MockMVC工具,...
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4494
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
springsecurity登录功能拦截_Spring Security 自带防火墙!你都不知道自己的系统有多安全
weixin_39757122的博客
11-26 1323
之前有小伙伴表示,看 Spring Security 这么麻烦,不如自己写一个 Filter 拦截请求,简单实用。自己写当然也可以实现,但是大部分情况下,大家都不是专业的 Web 安全工程师,所以考虑问题也不过就是认证和授权,这两个问题处理好了,似乎系统就很安全了。其实不是这样的!各种各样的 Web 攻击每天都在发生,什么固定会话攻击、csrf 攻击等等,如果不了解这些攻击,那么做出来的系统肯定也...
解决重定向页面时,https变成http问题
panying941206的博客
10-08 3968
重定向页面后,https变成http
nginx 配置https 并解决重定向https协议变成了http问题
aa1358075776的博客
12-08 5095
配置如下:  server {      listen       80;      server_name  localhost;             return 301 https://localhost$request_uri;       charset UTF-8;      location / {        root   html;                  # 这...
Chrome浏览器http重定向https解决方案
qq_42940241的博客
12-01 1071
Chrome浏览器http重定向https解决方案
【ruoyi若依】启用HTTPS/SSL后,首页重定向出错
sayyy的专栏
07-28 4781
前言 ruoyi 4.6.0 Spring Boot Version: 2.3.4.RELEASE nginx 1.5.11 nginx 反向代理项目。参考这里 添加了 ForwardedHeaderFilter,参看这里 启用了HTTPS,参看这里 ruoyi若依的项目首页地址会重定向 假设访问http://mydomain/myproject,会被重定向http://mydomain/myproject/(嗯,加了个/)。 启用HTTPS/SSL后,首页重定向出错 访问https://mydom
Spring Security——关闭未认证时重定向(302)到登录页面(loginPage)
无限迭代中......
07-28 7401
问题描述 当访问该web服务的一个请求/test且该请求需要用户认证,那么Spring Security会将请求302到通过httpSecurity.formLogin().loginPage("/login")设定的页面里。 问题分析 暂无。 解决方案 httpSecurity.exceptionHandling() //没有认证时,在这里处理结果,不要重定向 .authenticationEnt...
spring security登出
最新发布
10-12
3. 在用户登出成功后,Spring Security会自动清除用户的认证信息,并将用户重定向到指定的页面。 示例代码如下: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值