Spring security 3.x 普通login与ajax login笔记

最新推荐文章于 2024-08-19 22:18:39 发布
最新推荐文章于 2024-08-19 22:18:39 发布
阅读量7.1k 收藏
点赞数 1
分类专栏: Java 文章标签: spring security login ajax
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmppok/article/details/44832641
版权

原创文章,欢迎转载!转载时务必保留:作者:jmppok ;出处http://blog.csdn.net/jmppok/article/details/44832641

1.问题

在一个Web项目中一般会有两部分组成: 

1)静态资源, 如html页面, js脚本,图片等等.

2)API接口。

在进行权限控制时,需要对这两部分进行统一管理。

Spring框架本身提供了强大的Security机制,但是在使用过程中还是会出现以下问题:

当用户访问一个页面时,页面本身经常是既包含静态资源,又需要调用API接口。

大家都知道,如果Spring Security判断当前用户没有权限访问某个资源时,会根据我们的配置自动跳转到Login页面或者403页面。

但实际上这可能并不是我们想要的:因为对于静态资源来说,浏览器一般会进行缓存,一旦缓存后就不会再向服务器请求,也就是说即使没有登陆或权限,静态页面也有可能被显示出来;但这时候对服务段的API调用可能是失败的。如前面所说,API调用失败时,会自动调转到会根据我们的配置自动跳转到Login页面或者403页面(注意这里是一个页面),而这并不是我们想要的结果。

因为对于API的服务调用来说,应该返回一个Json或者xml的结果,通过结果来判断调用成功还是失败以及失败原因是没有登陆或没有权限。然后根据调用失败信息,再判断是否跳转到登陆页面。而不是在调用API时由后台直接来返回一个Login.html或403.jsp.


2.解决办法

1)配置统一的权限管理

在applicationContext-security.xml中配置:


	<http auto-config="false" entry-point-ref="myAuthenticationProcessingFilterEntryPoint" >
	
	
		<intercept-url pattern="/login**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/js/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />
		<intercept-url pattern="/images/**" access="IS_AUTHENTICATED_ANONYMOUSLY" />

		<intercept-url pattern="/**" access="ROLE_USER" /> 

		<form-login login-page="/login.html" authentication-failure-url ="/loginfailure" default-target-url="/loginsuccess"/>
		<logout invalidate-session="true" logout-success-url="/login.html" logout-url="/j_spring_security_logout"/>
		
		<access-denied-handler ref="myAuthenticationFailureHandler"/>

	</http>
	
	<beans:bean id="myAuthenticationProcessingFilterEntryPoint" class="com.lenovo.MyAuthenticationProcessingFilterEntryPoint" >
		<beans:property name="loginFormUrl" value="/login.html"></beans:property>
	</beans:bean>
	
<pre name="code" class="html">	<beans:bean id="myAuthenticationFailureHandler" class="com.lenovo.MyAuthenticationFailureHandler" />

	
	<!-- 认证管理器。用户名密码都集成在配置文件中 -->
	<authentication-manager >
		<authentication-provider>
			<user-service>
				<user name="admin" password="admin" authorities="ROLE_USER" />
			</user-service>
		</authentication-provider>
	</authentication-manager>
	
 主要包括以下两点: 

 

1)自定义EntryPoint,在Spring自动跳转到登陆节目时,进行自己的处理
 

 

entry-point-ref="myAuthenticationProcessingFilterEntryPoint"
 

 

 

<beans:bean id="myAuthenticationProcessingFilterEntryPoint" class="com.lenovo.MyAuthenticationProcessingFilterEntryPoint" >
		<beans:property name="loginFormUrl" value="/login.html"></beans:property>
	</beans:bean>
 

 

MyAuthenticationProcessingFilterEntryPoint 继承 LoginUrlAuthenticationEntryPoint 并重写其commence方法。
 

在commence中对请求进行判断, 比如判断是否ajax请求(代码中的视线)。 也可以判断是否某个URL,如/api/**等。
 

对于符合条件的直接返回一个Json数据串,表示没有登陆,访问失败。
 

其他的请求调用super.commence()按Spring原来的方式进行处理。
 
 

 

public class MyAuthenticationProcessingFilterEntryPoint extends LoginUrlAuthenticationEntryPoint {

    /**
     * @author ligh4 2015年4月1日下午4:38:04
     */
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException,
            ServletException {

        HttpServletRequest httpRequest = (HttpServletRequest) request;
        if ("XMLHttpRequest".equals(httpRequest.getHeader("X-Requested-With"))) {

            Map<String, Object> error = new HashMap<String, Object>();
            error.put("success", false);
            error.put("result", "loginfailure");
            error.put("data", "loginfailure"); // 兼容extjs form loading  
            //RenderUtils.renderJSON((HttpServletResponse) response, error);

            response.setContentType("json");
            String json = new Gson().toJson(error);
            response.getWriter().write(json);
            response.getWriter().flush();

        } else {
            super.commence(request, response, authException);
        }

    }
}
 

 2) 添加拒绝访问AccessDeniedHandler处理 

 

 

<access-denied-handler ref="myAuthenticationFailureHandler"/>
 

 

 

<pre name="code" class="html"><beans:bean id="myAuthenticationFailureHandler" class="com.lenovo.MyAuthenticationFailureHandler" />
 

 

 

 

需要注意的是,AccessDeniedHandler只有在已Login而没有权限的情况下才被触发。 如果是session超时或者没有登陆,Spring则会直接跳转到登陆页面。
 

 

 

public class MyAuthenticationFailureHandler implements AccessDeniedHandler {

    /**
     * @author ligh4 2015年3月31日下午4:15:59
     */
    @Override
    public void handle(HttpServletRequest arg0, HttpServletResponse arg1, AccessDeniedException arg2)
            throws IOException, ServletException {

        LogHelper.debug(this, "handler AccessDeniedException...");

        HttpServletRequest httpRequest = arg0;
        // is ajax request?
        if ("XMLHttpRequest".equals(httpRequest.getHeader("X-Requested-With"))) {
            String msg = "{\"success\" : false, \"message\" : \"authentication-failure\"}";

            arg1.setContentType("json");
            OutputStream outputStream = arg1.getOutputStream();
            outputStream.write(msg.getBytes());
            outputStream.flush();
        }
    }

}
 

 

AccessDeniedHandler的处理同上面的MyAuthenticationProcessingFilterEntryPoint类似。
 

判断是否ajax或者api调用请求,如果是直接返回json数据。否则按Spring原来方式进行处理。
 

                

        

        

    

  


    

      

        

            

              
                
                  jmppok
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
【万字长文】SpringBoot整合SpringSecurity+JWT+Redis完整教程(提供Gitee源码)

				
			

			

				

					黄团团的个人博客
				

				

					07-28
					
					5561
					
				

			

		

		

			
				
最近在学习SpringSecurity的过程中,参考了很多网上的教程,同时也参考了一些目前主流的开源框架,于是结合自己的思路写了一个SpringBoot整合SpringSecurity+JWT+Redis完整的项目,从0到1写完感觉还是收获到不少的,于是我把我完整的笔记写成博客分享给大家,算是比较全的一个项目了,仅供大家参考和学习哦!

			
		

	



                

              
                



	

		

			

				
					
SpringSecurity系列文章学习笔记

				
			

			

				

					weixin_38370441的博客
				

				

					04-13
					
					885
					
				

			

		

		

			
				
SpringSecurity系列文章学习笔记学习链接第一篇:入门程序第二篇:自动登录第三篇:异常处理第四篇:自定义表单登录第五章:权限控制第六章:登录管理第七章:认证流程第八章:短信验证码登录
学习链接
https://blog.csdn.net/yuanlaijike/category_9283872.html
第一篇:入门程序
文章目录:
一、导入依赖
二、创建数据库
三、准备页面
四、配置application.properties
配置了数据库驱动、URL、账户密码、开启mybatis的部分配置
五

			
		

	



                


  
              

                


	

		

			

				
					
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)

				
			

			

				

					08-28
				

			

		

		

			
				
主要介绍了SpringBoot+SpringSecurity处理Ajax登录请求问题,本文给大家介绍的非常不错,具有参考借鉴价值,需要的朋友可以参考下

			
		

	





	

		

			

				
					
springsecurity ajax登录

				
			

			

				

					桀骜浮沉的博客
				

				

					03-04
					
					661
					
				

			

		

		

			
				
springsecurity ajax登录
登录页面
<!DOCTYPE html>
<html lang="en" >
<script src="webjars/jquery/3.5.1/jquery.min.js"></script>
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>

<

			
		

	



		

			
		



	

		

			

				
					
springsecurity 登录认证一(ajax

					
最新发布

				
			

			

				

					冬阳
				

				

					08-19
					
					1135
					
				

			

		

		

			
				
UsernamePasswordAuthenticationFilter:负责处理我们在登陆页面填写了用户名密码后的登陆请
求。入门案例的认证工作主要有它负责。
ExceptionTranslationFilter:处理过滤器链中抛出的任何AccessDeniedException和
AuthenticationException 。
FilterSecurityInterceptor:负责权限校验的过滤器。通俗一点就是授权由它负责。(鉴权)


			
		

	





	

		

			

				
					
spring security ajax 跳转登录页

				
			

			

				

					lanyingtianshiabc的专栏
				

				

					05-07
					
					2438
					
				

			

		

		

			
				
对于 ajax 无法捕获302的原理参考


http://www.cnblogs.com/dudu/p/ajax_302_found.html



大体流程为
ajax -> browser -> server -> 302 -> browser(redirect) -> server -> browser -> ajax callback

结论 
如果你想在ajax

			
		

	





	

		

			

				
					
Spring Security---AJAX请求登陆

				
			

			

				

					u014296371的博客
				

				

					12-03
					
					2210
					
				

			

		

		

			
				
后端代码不再赘述,按照Spring Security官方开发文档编码即可。 
前端采用freemarker模板。本文重点为freemarker的配置,以及登陆js文件的配置。step1:在login.ftl的header中加入如下代码:<!--spring Security的验证token与header-->
<header>
    <meta name="_csrf" content="${(_

			
		

	





	

		

			

				
					
理解Spring Web Security实现Ajax登录

				
			

			

				

					wudengyu的博客
				

				

					10-05
					
					877
					
				

			

		

		

			
				
前面写了一篇《网页登录以及单点登录的一些概念》,提到了token和登录用户的相关信息,说token是保存在cookies里,而登录用户的信息是保存在Session里,应该说,如果登录、身份验证、权限验证等这些功能都自己实现的话,大多数人都是这么存放的,原因应该是Servlet提供的接口也就是这些。在说Spring Web Security之前,先看看假如按前面那种思路,继续把登录、身份验证等功能继

			
		

	





	

		

			

				
					
Spring-Security-Oauth2学习笔记(3):自定义异常处理

				
			

			

				

					qq_26121913的博客
				

				

					02-13
					
					4888
					
				

			

		

		

			
				
1 前言
上一章我们已经按照与前端的约定自定义了token的返回格式。同样的,程序在运行过程中会产生各种异常,这些默认的异常对前端非常的不友好,比如默认的Oauth2异常response的status=4XX,返回的格式如下:
{
    "error": "invalid_grant",
    "error_description": "Bad credentials"
}

现在我们同样要把...

			
		

	





	

		

			

				
					
Spring-Security笔记12 Session管理

				
			

			

				

					杨毅的专栏
				

				

					03-01
					
					2057
					
				

			

		

		

			
				
Spring-security.xml中配置&lt;!-- Session管理 --&gt;
&lt;!-- invalid-session-url Session失效后跳转的界面 --&gt;
&lt;sec:session-management invalid-session-url="/sessionInvalid.do?message=invalid-session"
 session-...

			
		

	





	

		

			

				
					
SpringBoot学习笔记.docx

				
			

			

				

					10-13
				

			

		

		

			
				
这篇学习笔记将引导我们深入了解 SpringBoot 的基本用法,包括项目的创建、返回视图、数据库交互、前端与后端数据传递、日志管理和安全控制等方面。  1. **新建项目**:  创建 SpringBoot 项目通常是通过 Maven 或 ...

			
		

	





	

		

			

				
					
spring security ajax请求与html共存

				
			

			

				

					03-23
				

			

		

		

			
				
spring security 安全认证与资源管理,,安全性特别高,,可以配置更多的安全设置。在许多企业应用中,都选用了这项技术。该代码主要将ajax请求与from请求区别。供大家参考!

			
		

	





	

		

			

				
					
基于Spring SecurityAJAX请求需要登录的解决方案

				
			

			

				

					Littleree的博客
				

				

					05-16
					
					178
					
				

			

		

		

			
				
基于Spring SecurityAJAX请求需要登录的解决方案

			
		

	





	

		

			

				
					
Spring security ajax提交数据

				
			

			

				

					征途人生&梦
				

				

					04-16
					
					638
					
				

			

		

		

			
				
使用spring security后,如果使用的是thymeleaf,那么form action会帮我们自动加上csrf 隐藏域,但是ajax提交就需要自己获取了,在文档中有提到。

Example 124. AJAX send CSRF Token


$(function () {
    var token = $("meta[name='_csrf']").attr("content");...

			
		

	





	

		

			

				
					
springsecurity拦截ajax,Spring Security Ajax 被拦截

				
			

			

				

					weixin_39614546的博客
				

				

					08-05
					
					521
					
				

			

		

		

			
				
背景是项目中使用Spring Security 进行安全控制再使用Ajax的时候会报 403(ajax get 方式是没问题的 post 的时候会报)Spring Security 原本是 防止 CSRF 攻击 现在 ajax 被误伤了...然后下面贴解决方法,页面的head标签里 下记追加(这里要说的是用的是thymeleaf模板 所有才会有 th:如果是jsp的话使用EL表达式吧th:去掉就...

			
		

	





	

		

			

				
					
(七)Spring Security基于ajax登录

				
			

			

				

					惜阳
				

				

					07-18
					
					3079
					
				

			

		

		

			
				
目录一:修改form 表单二:创建一个登录接口三:自定义认证入口点(AuthenticationEntryPoint)四:最终配置五:项目地址

spring security 最简单的登录莫过于form表单登录,但是要做到极致的交互式体验,还是需要用到ajax登录

首先我们借助于(五)Spring Security基于数据库的权限授权的登录页面
一:修改form 表单

原表单:<for...

			
		

	





	

		

			

				
					
spring security3 ajax,Spring Security Ajax login

				
			

			

				

					weixin_30999575的博客
				

				

					08-05
					
					158
					
				

			

		

		

			
				
This is an old post, but it still comes up as one of the top results for "spring security ajax login," so I figured I'd share my solution.  It follows Spring Security standards and is pretty simple to...

			
		

	





	

		

			

				
					
Spring Security入门(3-7)Spring Security处理页面的ajax请求

				
			

			

				

					weixin_33976072的博客
				

				

					06-15
					
					107
					
				

			

		

		

			
				




 

			
		

	





	

		

			

				
					
Spring Security 3 Ajax登录–访问受保护的资源

				
			

			

				

					最佳 Java 编程
				

				

					05-10
					
					289
					
				

			

		

		

			
				
我看过一些有关Spring Security 3 Ajax登录的博客,但是我找不到能解决如何调用基于Ajax的登录的博客,匿名用户正在Ajax中访问受保护的资源。 
 问题 – Web应用程序允许匿名访问某些部分,并且某些部分是受保护的资源,需要用户登录。 
 当匿名用户(通过Http Get / Post)访问受保护的资源时,Spring Security会自动调用登录页面,并在成功通过...

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值