记录使用Spring Security 6.版本遇到的一些坑

已于 2024-08-25 08:01:12 修改
阅读量323 收藏
点赞数 4
文章标签: spring java 后端
于 2024-08-23 16:35:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_61048905/article/details/141468646
版权

1.一开始使用requestMatchers().permitAll(),发现加入里面的url还是被拦截,在网上查找后使用了  WebSecurityCustomizer ignoringCustomizer()。

    @Bean
    public WebSecurityCustomizer ignoringCustomizer() {
        return (web) -> web.ignoring().requestMatchers(
                "/auth/**"
        );
    }

2.使用web.ignoring()后对应请求没有被拦截,但是进行到后面的时候,我发现SecurityContext无法获取对应的信息。查找资料后发现是因为web.ignoring()是不会经过过滤链的,但是前面的requestMatchers会经过过滤链。没有经过过滤链的话就不会经过Security,Security就无法获得对应的登录用户信息就会拒绝。

3.再次查找资料后发现解决这个的办法是,使用requestMatchers().permitAll(),但是需要在filter中设定匿名用户的身份验证信息ROLE_ANONYMOUS。

4.解决完之后,请求url没有被拦截了,然后我又出现输入账号密码是正确的,但是又一直不通过的情况。查找资料发现Security中默认是把对应密码的明文,和数据库中密码的密文进行比较。就是说,你需要保证使用前端的明文密码,然后数据库中存储的是密文密码。

最终我的jwtfilter代码

package com.example.blog.filter;

import com.example.blog.model.SecurityUser;
import com.example.blog.service.UserService;
import com.example.blog.utils.JwtUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.AnonymousAuthenticationToken;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.authority.AuthorityUtils;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.BufferedReader;
import java.io.IOException;



public class JwtFilter extends OncePerRequestFilter {

    private final UserDetailsService userDetailsService;
    @Autowired
    public JwtFilter(UserDetailsService userDetailsService) {
        this.userDetailsService = userDetailsService;
    }

    @Override
    protected void doFilterInternal(
            jakarta.servlet.http.HttpServletRequest request,
            jakarta.servlet.http.HttpServletResponse response,
            jakarta.servlet.FilterChain filterChain
    ) throws IOException, jakarta.servlet.ServletException {
        String authorizationHeader = request.getHeader("Authorization");
        String authorizationUrl = request.getParameter("token");

        String username = null;
        String token = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            token = authorizationHeader.substring(7);
        }

        if (authorizationUrl != null) {
            token = authorizationUrl;
        }

        if (token != null) {
            try {
                username = JwtUtil.extractUsername(token);
            } catch (Exception e) {
                logger.error("Failed to extract username from token", e);
            }

            if (username != null && JwtUtil.validateToken(token, username)) {

                SecurityUser securityUser = (SecurityUser) userDetailsService.loadUserByUsername(username);

                // 构建用户认证
                UsernamePasswordAuthenticationToken authenticationToken =
                        new UsernamePasswordAuthenticationToken(securityUser, securityUser.getPassword(), securityUser.getAuthorities());
                authenticationToken.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                // 放入 SecurityContext 中,方便后续获取当前用户信息
                SecurityContextHolder.getContext().setAuthentication(authenticationToken);

                System.out.println("userDetails.getUsername():"+securityUser.getUser().getUsername());

            } else {
                response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Invalid or expired token");
                return;
            }
        } else {
            // 设置 ROLE_ANONYMOUS
            AnonymousAuthenticationToken anonymousToken = new AnonymousAuthenticationToken(
                    "key", "anonymousUser", AuthorityUtils.createAuthorityList("ROLE_ANONYMOUS"));
            SecurityContextHolder.getContext().setAuthentication(anonymousToken);

            System.out.println("ROLE_ANONYMOUS");
        }

        filterChain.doFilter(request, response);
    }

}

m0_61048905
关注
Spring Security6版本变化内容
程序三两行
08-05 4150
Spring Security已经更新到了6.x,通过本专栏记录以下Spring Security6学习过程,当然大家可参考Spring Security5专栏对比学习Spring Securityspring家族产品中的一个安全框架,核心功能包括用户认证(Authentication)和用户授权(Authorization)两部分。用户认证:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
SpringSecurity6 垃记
qq_43852888的博客
09-21 144
我对SpringSecurity6学习的一点记录
ERR AUTH <password> called without any password configured for the default user. Are you sure your c...
weixin_35755562的博客
01-05 2万+
ERR AUTH 在没有为默认用户配置任何密码的情况下调用。你确定你的配置是正确的吗? 这个错误消息表明,在尝试使用密码进行身份验证时没有为默认用户配置密码。这意味着系统无法使用所提供的密码进行身份验证。你可能需要检查你的配置文件,确保为默认用户正确配置了密码,或者检查你正在使用的命令或代码,确保你正在使用正确的密码。 ...
SpringSecurity6解决requestMatchers().permitAll()后依然执行自定义过滤器的问题
m0_54250110的博客
06-04 9707
Spring容器会自动识别被注册成为Bean对象的Filter过滤器(即继承自Filter对象的类),将这个Bean对象自动注册到SpringBoot的过滤器链中。如果你的过滤器类使用注解注册成为了一个Bean对象,那么他就已经加到了SpringBoot的过滤器链中,所以就算你的SpringSecurity配置中设置了permitAll,可能还会去走SpringBoot的过滤器链。
springboot连接Redis报错
Ellan的博客
03-28 785
这是由于启动redis时候没有使用redis.conf配置文件中的requirepass参数。重启redis服务后,Medis客户端可以链接redis。
ERR AUTH<password> called without anypassword configured for the default user.Are you sure your conf
开源世界
05-25 1万+
如图: 目录切换到知识付费项目根目录,点击终端 打开终端后切到知识付费根目录 第一步:检查redis是否启动 命令:redis-cli 第二步:检查redis密码 命令:keys * 第三步:密码 这是没有设置redis密码,项目中也可不用设置密码 第四步:设置redis密码 如 将redis密码设置成1234567 命令:config set requirepass 1234567 第五步:检查密码是否设置成功 第六步:项目配置文件设置redis密码 更改成redis密码 如:1234567
Spring Security 4.x -> 5.x 踩记录
Jagger的博客
09-17 3028
1. AuthenticationManager无法自动注入 在实现AbstractAuthenticationProcessingFilter重写以用户名、密码认证时,需要显示注入AuthenticationManager,不然会报如下错误: Caused by: org.springframework.beans.factory....
Spring 5.0+Spring Boot+security+spring cloud oauth2+Redis整合详情,记录那些遇到的一些
热门推荐
fanbojiayou的专栏
02-13 2万+
1、使用的技术以及版本号JDK8.0Spring 5.0oauth2.0redis2.02、项目采用MAVEN管理。pom文件中加入:&lt;dependency&gt; &lt;groupId&gt;org.springframework.cloud&lt;/groupId&gt; &lt;artifactId&gt;spring-cloud-starter-security&lt;/art...
spring boot +spring Security+ jwt+oauth2.rar
06-13
1. **问题记录使用.docx、问题记录.docx**:这些可能是项目开发过程中的问题记录文档,包含了遇到的问题和解决方案,对于理解项目和排查问题非常有帮助。 2. **security.sql**:这是一个SQL脚本,可能包含了初始化...
SpringSecurity实现过滤器
冲出仁川,走出马德里,故事还会再继续
02-24 3256
SpringSecurity实现过滤器1、概述2、Spring Security架构中实现过滤器3、在过滤器链中现有过滤器之前添加过滤器3.1 实现一个自定义过滤器3.2 在身份验证之前配置自定义过滤器3.3 控制器类3.4 测试4、在过滤器链中已有的过滤器之后添加过滤器4.1 定义一个过滤器来记录请求4.2 在过滤器链中的现有过滤器之后添加自定义过滤器4.3 测试5、在过滤器链中另一个过滤器的位置添加一个过滤器5.1 StaticKeyAuthenticationFilter类的定义5.2 将过滤器添加到
记录 Role Hierarchy 在 spring security 6 无法生效的问题
chang_chan的博客
02-04 321
记录 Role Hierarchy 在 spring security 6 无法生效的问题
Spring Security 实现自定义登录和认证(1):使用自定义的用户进行认证
qq_45691577的博客
03-04 2579
这个类是用来检索用户名和密码的,该类被调用,至于是什么可以查看官方文档。//注入编写的UserRepository @Resource private UserRepository userRepository;//根据username查询user @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
PSSecurityException之PowerShell权限设置
庭前云落的博客
12-10 1127
Windows下PowerShell默认的权限级别是Restricted,不允许执行PS脚本(即.ps1文件)。如果在Restricted权限级别下运行,会得到错误信...
`AUTH` failed: ERR AUTH <password> called without any password configured fo 的解决办法
最新发布
任聪聪的博客
10-27 1923
AUTHfailed: ERR AUTH called without any password configured fo 的解决办法。日期:2023年10月27日作者:任聪聪。
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1411
虽然在WebSecurity.ignoring().antMatchers()中配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器中设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
HttpSecurity和WebSecurity
mingzq123的博客
03-22 1027
它提供了一些方法,用于配置 Spring Security 的一些基本行为,如忽略某些请求、设置用户信息来源、启用 HTTPS 等。它提供了一些方法,用于配置请求的身份认证、授权、跨站请求伪造防护等。在该方法之后,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。方法用于开启请求授权配置,可以通过一系列的配置方法来配置哪些请求需要进行授权,以及授权的方式和条件。配置请求的授权策略,如哪些请求需要进行身份认证、哪些请求需要授权等。
高级版的 jvisualvm :Spring Boot Admin 监控 Spring Boot 微服务项目
m0_73311735的博客
08-29 634
类,并在。
SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5
nifengdeshuye的博客
11-21 5568
Spring Security静态资源访问被拦截,无法实现。static目录无法访问,但其它的目录可以访问,或者配置SpringMVC的静态资源映射,映射到static目录。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值