关于SpringSecurity设置Cookie的问题

最新推荐文章于 2023-10-21 15:19:03 发布
最新推荐文章于 2023-10-21 15:19:03 发布
阅读量3.7k 收藏 3
点赞数 1
分类专栏: java 文章标签: java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_67393593/article/details/123708284
版权

关于前后端分离SpringSecurity设置Cookie的问题

今天刚入手SpringSecurity,很多不是太懂,在github找到个dome
github地址:https://github.com/ChinaSilence/spring-security-demos
然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。

在这里插入图片描述
在登录接口响应头中有set-cookie 但是本地cookie还是空的,傻傻的以为ajax请求的时候需要自定义请求头加上cookie,发现请求头不允许携带cookie,cookie是自动携带的。这就找到问题所在了,因为是前后端分离项目,cookie跨域了,所以导致cookie无法保存,也无法携带
解决办法:后端允许cookie跨域

@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// TODO Auto-generated method stub
		HttpServletResponse resp = (HttpServletResponse) response;
		HttpServletRequest rep = (HttpServletRequest) request;
		
		resp.addHeader("Access-Control-Allow-Origin", rep.getHeader("Origin"));
		//允许跨域请求中携带cookie		
		resp.addHeader("Access-Control-Allow-Credentials", "true");
		// 如果存在自定义的header参数,需要在此处添加,逗号分隔
		resp.addHeader("Access-Control-Allow-Headers", "authorization,Origin, No-Cache, X-Requested-With, "
				+ "If-Modified-Since, Pragma, Last-Modified, Cache-Control, Expires, " + "Content-Type, X-E4M-With");
		resp.addHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS");

		chain.doFilter(request, response);
	}

前端ajax允许cookie跨域:
ajax请求添加以下参数:

crossDomain: true,
xhrFields: {
    withCredentials: true
},

整体ajax为:

   $.ajax({
        url : patl,
        type: "POST",
        crossDomain: true,
        xhrFields: {
            withCredentials: true
        },
        success : function(result) {
           alert("success");
        }
    });

`
也可以在ajax拦截器里面配置,另外解惑的文章附上
https://my.oschina.net/qinghang/blog/1608792

m0_67393593
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring Security2中设置Cookie的保存时间
05-24
NULL 博文链接:https://ss3ex.iteye.com/blog/374170
SpringSecurity5-教程4-Cookie单点登录
zhouwenjun0820的博客
03-23 501
Cookie单点登录
spring-security cookie认证
12-23
spring-security cookie认证
Spring Security前置知识3--Cookie与Web Storage
天下英雄出我辈,一入江湖岁月催
03-28 3212
文章目录一、概述二、Cookie产生背景三、Cookie值在哪里设置四、Cookie有哪些属性五、Cookie存储在哪里六、Cookie如何传到后台七、后台如何处理Cookie八、Cookie存储空间与数量的限制九、Web本地存储(Web Storage)1、Web Storage的产生2、Web Storage简单介绍3、Web Storage的问题4、LocalStorage用于存储Jwt T...
SpringSecurity
最新发布
Hbb123654的博客
10-21 246
SpringSecurity是一个安全访问控制框架,就是一个专门进行认证授权的安全框架。定义AuthenticationSuccessHandler接口的实现类并重写其抽象方法在方法中完成登录成功后向客户端响应json,最后将其bean对象添加到IOC容器。@Component@Override//msg -- 用户信息定义AuthenticationFailureHandler接口的实现类并重写其抽象方法。
SpringSecurity CSRF引发的思考Cookie、Session、Token和JWT
wdquan19851029的专栏
12-27 5233
目录 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 2.CSRF 跨站伪造请求 3.Cookie和Session 4.Cookie和Session的区别 5.什么是Token(重点) 仅仅用seesion+cookie存在的问题 【疑问?】token放在客户端哪里?客户端是怎么每次取到token的 6.JSON Web Token(JWT) Token和JWT: 1.最重要的问题: CSRF攻击是怎样跨域拿到cookie的? 【疑问?】浏览器对于 cookie
前后端分离项目无法得到Spring Security 认证cookie而导致循环登录问题
weixin_59216829的博客
04-12 1330
那是因为内置的登录页面属于前后端不分离的项目,后端在自家人登录,自然信任自家人给了它通行证,**而在前后端分离项目中,我们是一定会出现跨域问题的!值,也就是说,后端没有给前端颁发认证cookie,导致前端没有获取登录用户的对应cookie,这样就会使每次请求都没有携带这个cookie,就无法做到身份认证,从而导致循环登录。那为什么会导致整个问题呢,明明数据已经发送过去了,并且也登录成功了,为什么会被后端认为是没有登录,这个时候就一定是少了什么,我们再次通过Fiddller抓包看看。
SpringSecurity 测试实战
08-25
SpringSecurity 测试实战 标题:SpringSecurity 测试实战 描述:SpringSecurity 测试实战主要介绍了...通过测试 SpringSecurity 的实现,我们可以确保应用程序的安全机制是正确的,并且可以避免一些常见的安全问题
详解spring security安全防护
08-27
Spring Security提供了多种方式来防护XSS攻击,包括使用HttpOnly Cookie设置Content Security Policy、启用X-XSS-Protection Header等。 CSRF攻击防护 CSRF攻击(跨站请求伪造攻击)是一种欺骗受害者提交恶意...
Spring Security实现不同接口安全策略方法详解
09-07
在Spring Security中,实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security为不同接口定制...
Spring Security介绍
W211953332的博客
08-13 444
一、Spring Security介绍 1、框架介绍 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。 (1)用户认证指的是:验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
springboot框架学习 springSecurity5的CSRF保护(cookie跨域保护)
m0_59588838的博客
05-02 2411
昨天遇到的一个毁灭性的bug,前提是我没有系统的了解springsecurity5这款安全框架,它封装管理的一些保护机制,其中导致我明明页面和对应的方法映射写的都好好的,结果就是从一个页面跳转另一个页面报出403错误,且显示得不到任何映射,这就很让我困扰,本来我以为是我controller层的方法写的有问题,做好如下的调试代码: @RequestMapping("query") public User query(String username){ System.out.pr
Spring Security学习笔记
Shawn的个人博客
05-09 1899
文章目录一、Security简介1、简介2、security框架快速搭建二、Spring Security认证1、登录校验流程2、SpringSecurity原理初探2.1 过滤器介绍2.2 认证流程详解3、SpringBoot整合前期准备3.1 思路分析3.2 数据库与框架搭建3.3 相应工具类创建4、自定义UserDetailsService5、自定义登录接口6、认证过滤器7、退出登录8、自定义认证(可选)三、Spring Security授权1、 权限系统初步介绍1.1 介绍1.2 授权基本流程1.3
SpringSecurity安全框架学习笔记
清茶淡粥的博客
12-31 570
Spring Security Spring Security简介 Spring Security 是一种高度自定义的安全框架,利用(基于)SpringIOC/DI和AOP功能,为系统提供了声明式安全访问控制功能,减少了为系统安全而编写大量重复代码的工作。 核心功能:认证和授权 Spring Security 认证流程 Spring Security 项目搭建 导入依赖 Spring Security已经被Spring boot进行集成,使用时直接引入启动器即可 <dependency>
05 SpringSecurity-实现自动登录
01-19 2957
文章配套代码:https://gitee.com/lookoutthebush/spring-security-demo 自动登录是将用户的登录信息保存在用户浏览器的cookie中,当用户下次访问时,自动实现校验 并建立登录态的一种机制。 Spring Security提供了两种非常好的令牌: 用散列算法加密用户必要的登录信息并生成令牌。 数据库等持久性数据存储机制用的持久化令牌。 散列算法在Spring Security中是通过加密几个关键信息实现的: hashInfo = md5Hex(us
springsecurity oauth2.0 认证与授权会话管理7
健康平安的活着的专栏
08-14 876
一 会话 1.1 做会话原因 用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。 1.2 实现会话的原理 1.spring security提供会话管 理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取 用户身份。 2.Spring Security获取当前登录用户信息的方法为: SecurityContextHolder.getContext().getAuthenticatio
cookie/session和token的角度来认识一下spring security oauth
nrsc
10-10 4794
项目源码地址https://github.com/nieandsun/security
通过配置修改springsecuritycookie生效方式(domain + path + secure + samesite)
a1290320893的博客
12-18 4052
我们可以通过配置以下参数来修改默认cookie的生效方式; 一、server.servlet.session.cookie.secure=true(只在访问HTTPS中进行传输cookie) 测试:访问:http://localhost:8080/admin/acl/user/getTitle/smile 需要认证后才可以访问;登录完成后有了cookie,照理说再次访问http://localhost:8080/admin/acl/user/getiphone由于我这边不是https所以不会携带cooki
SpringSecurity 重写cookie
05-27
可以通过实现`CookieSerializer`接口来重写Spring Security中的cookie。具体步骤如下: 1. 创建一个类并实现`CookieSerializer`接口。 2. 在实现的`serializeCookie()`方法中,可以自定义cookie的name、value、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值