Spring Security登录后一直跳转登录页面原因分析

最新推荐文章于 2023-10-13 15:37:53 发布
最新推荐文章于 2023-10-13 15:37:53 发布
阅读量4.1k 收藏 7
点赞数 3
分类专栏: Security 文章标签: java 前端 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oPeiJie1/article/details/130079923
版权

情况一:

引发错误的SpringSecurity配置如下:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class EdenOauthWebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                // 禁用csrf攻击防护
                .csrf().disable()
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                //启用表单身份验证,放行登录有关接口
                .formLogin()
                // 默认/login
                .loginProcessingUrl("/login")
                .permitAll()
                .and()
                // 和退出登录有关的直接放行
                .logout()
                // .logoutUrl(authProperty.getLogoutUrl())
                .invalidateHttpSession(false)
        ;
    }
}

1.情况描述:

测试授权码模式,访问地址:http://localhost:9949/oauth/authorize?client_id=eden&response_type=code&scope=server&redirect_uri=http://www.baidu.com。被Security拦截后,重定向到登录页面。输入正确的用户名和密码,仍然回到登录页面,陷入死循环...

2.源码分析:

先放一张流程图,待会儿会用到。

2.1.分析流程:

2.1.1.尝试获取授权码

当我们请求地址:http://localhost:9949/oauth/authorize?client_id=eden&response_type=code&scope=server&redirect_uri=http://www.baidu.com获取授权码的时候,因为此时没有登陆,所以会将我们重定向到登录页面/login,在重定向之前还有一个动作就是缓存本次请求。

上面文字描述的其实就是流程图中的1、2、3、4步骤。

因为我们没有登录,所以抛出AccessDeniedWxception,然后ExceptionTranslationFilter捕获到并由handleSpringSecurityException方法进行处理。debug如下:

处理过程中会进入sendStartAuthentication方法,有两步操作:

  • 缓存我们发出的请求。

  • 做异常的处理:异常处理这里我们可以看到,他会把我们重定向到/login。

放开断点后,浏览器回到登录页面:

既然如此,那现在我们就先登录。

2.1.2.尝试登录

此处描述的是流程图中的5、6步骤。

输入正确的用户名和密码,点击登录。我们知道登录成功之后,AbstractAuthenticationProcessingFilter会调用handler做成功后的处理。

protected void successfulAuthentication(HttpServletRequest request,
      HttpServletResponse response, FilterChain chain, Authentication authResult)
      throws IOException, ServletException {
   //省略...
   successHandler.onAuthenticationSuccess(request, response, authResult);
}

最终会调用SavedRequestAwareAuthenticationSuccessHandleronAuthenticationSuccess方法。如下图断点位置所示,他会根据我们当前的请求来获取我们之前缓存的请求,但是此时获取结果为null:

然后进入到super.onAuthenticationSuccess(request, response, authentication)方法,这个方法里最终把我们重定向到/根路径。

于是从浏览器上看到我们又回到了登录页面。

既然我们是因为无法从缓存中拿到之前的请求而导致再次被重定向到登录界面的,那我们就看一下,获取缓存请求是怎么执行的?

3.原因分析

刚才分析过,登陆成功后,执行requestCache.getRequest(request, response),这个方法有两个默认实现。

而当我们尝试获取验证码时,因为没有登录抛出异常被重定向到登录页面/login之前的那次缓存请求时怎么做的呢?debug如下,他执行的是NullRequestCachesaveRequest方法。

从源码中我们看到,saveRequest方法是个空实现,什么都不做,也就是根本就没有缓存这次请求;而当你登陆成功后尝试获取请求的时候,getRequest返回的也是null。

至此,我们晓得了,为什么我们得不到缓存请求,被一直重定向到登录页面,那如何解决呢?

5.解决方案

既然我们是因为session策略,导致使用了NullRequestCache的默认实现,那我们更改一下session策略不就可以了吗?

修改SpringSecurity的配置中的Session策略,去掉关于session策略的配置。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
            // 禁用csrf攻击防护
            .csrf().disable()
            .authorizeRequests()
            .anyRequest().authenticated()
            .and()
            //启用表单身份验证,放行登录有关接口
            .formLogin()
            // 默认/login
            .loginProcessingUrl("/login")
            .permitAll()
            .and()
            // 和退出登录有关的直接放行
            .logout()
            // .logoutUrl(authProperty.getLogoutUrl())
            .invalidateHttpSession(false)
    ;
}

5.1.源码分析

5.1.1.尝试获取验证码

访问地址:http://localhost:9949/oauth/authorize?client_id=eden&response_type=code&scope=server&redirect_uri=http://www.baidu.com。在这里我们不再debug其他位置,直接观察如何缓存的请求。debug如下:

这是我们看到,缓存请求时的默认实现已经换成了HttpSessionRequestCache,他的saveRequest方法里,将此次请求缓存了起来。

我们知道这次请求,肯定会因为抛出了AccessDeniedException,被重定向到/login登录页面,那我们继续登录。

5.1.2.尝试登录

登录验证成功后,进入认证成功处理流程。此时我们看到获取缓存请求时的默认实现是HttpSessionRequestCache的方法。

getRequest方法中,我们可以顺利得到上一次请求的地址,并最终被重定向到redirect_uri的地址中去。

至此,我们就可以顺利得到授权码了。

情况二

情况二是转载自大佬一把杀猪刀的一篇文章《Spring Security OAuth2登录后无法跳转获取授权码地址,直接跳转根路径原因详解》,主要是分析由于存在多个RequestCache对象,当资源服务器接管路径的配置不正确时,无法获取正确的RequestCache对象,导致无法得到授权码。情况一分析时所使用的流程图,也出自一把杀猪刀大佬的这篇文章。而且他的博客中也有很多相当精彩的文章。再次表示感谢!

oPeiJie1
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于spirngboot项目localhost:8080任意接口直接跳转到login界面的问题
一杯梅子酱的博客
04-21 334
2.重新启动SpringBootDemoApplication。在项目的pom.xml依赖中使用了security依赖项。
Java学习 --- springSecurity用户认证
qq_46093575的博客
03-01 410
一、使用数据库完成用户认证 1、创建数据表 2、创建对应的实体类 package com.cjc.securitydemo1.dao; import lombok.Data; @Data public class Users { private Integer id; private String username; private String password; } package com.cjc.securitydemo1.mapper; import
Spring Security 认证
weixin_42609405的博客
03-03 1344
Spring Security 认证
实现页面登录后仍然跳回当前页面
Flyer的后花园
05-16 3272
1 页面部分  ">    var ctx = "${pageContext.request.contextPath}";             function downloadOpt(item){   var param = {};   param.revitId = $(item).data("id");   param.toUrl = $.base64.e
网站突然不能登录登录后又跳转登录页面
Don't lost way
03-10 1914
问题: 本来用的好好的网站,今天突然不能登录了,输入账号密码登录后,又被定向到了登录页面。 排查: 根据登录的逻辑,打印了登录成功的判断条件,发现session为空。就是说session存不上了。 原因: 因为用的是云服务器,也不方便查磁盘的使用情况,或者权限什么的原因 解决: 在入口文件加了session_save_path(你的目录名);,改变了session文件的存储目录,临时解决一下 ...
点击页面触发登录验证跳转登录页,登录之后返回当前页或者要跳转到某一页
最新发布
weixin_58785499的博客
10-13 1248
今天给大家分享的是我在开发小程序的时候所用到的功能,功能原型是这样的:在登录之前该用户进入该小程序页面是可以看见主页以及个人信息页,但是需要操作某功能的时候要判断该用户是否登录状态,没有登陆的话就要跳转登录页,在登录之后再跳回到当前页或者跳转到你想要跳转到的那一页。然后上代码,这段代码放到 js 文件中,需要引用就在你要引用的vue文件中 import { } from ‘@/xxxxxx . js’ 就可以。那么在上代码之前需要先了解几种跳转方式。
springsecurity登陆报404_临近年关,修复ASPNETCore因浏览器内核版本引发的单点登陆故障...
weixin_39944944的博客
12-08 258
“ 临近年关,咨询师提出360,搜狗急速浏览器无法单点登陆到公司核心产品WD, 报重定向过多。现象经过测试, 出现单点登陆故障的是搜狗,360等主打双核(默认Chrome内核)的浏览器, 较新式的Edge、Chrome、Firefox均未出现此障碍。 “ Developer tool监测不到原始的SSO请求,互联网上同类型问题不少,答案却惨不忍睹,味同嚼蜡,人云亦云。 年末不能晚节不保,决心啃下硬...
Spring Security跳转页面失败问题解决
08-25
Spring Security 跳转页面失败问题解决 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和加密功能。然而,在使用 Spring Security 时,可能会遇到跳转页面失败的问题。本文将详细介绍 ...
spring security自定义登录页面
08-29
其中,`login-page` 属性指定了我们的登录页面的 URL,`authentication-failure-url` 属性指定了登录失败后跳转的页面,而 `default-target-url` 属性指定了登录成功后跳转的页面。 自定义登录页面的配置 在我们的...
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 提供了一个 `SavedRequestAwareAuthenticationSuccessHandler` 实现类,该实现类可以记住用户未登录前要访问的地址,这样登录成功后就可以把用户再跳转到他想去的页面。 二、实现方式 ### 2.1 ...
详解使用Spring Security进行自动登录验证
08-29
2. 在Spring Security的配置文件中,配置好登录跳转的页面、登录处理的页面和加密情况。 3. 在前台的jsp页面中,登录的字段必须和后台users表中的一致,一般都是username和password。 4. 注册页面必须自己写,注册的...
基于spring security实现登录注销功能过程解析
08-25
在注销功能中,我们可以使用logout()方法指定注销后的跳转页面。 基于Spring Security实现登录注销功能过程解析需要配置Security类、自定义登录成功和失败处理器、登录页面和注销功能等几个方面。通过该过程,我们...
Ajax登陆使用Spring Security缓存跳转到登陆前的链接
10-17
主要介绍了Ajax登陆使用Spring Security缓存跳转到登陆前的链接,需要的朋友可以参考下
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
例如,我们希望不同的用户登录后看到不同的首页,或者我们希望在登录成功后跳转到不同的页面,而不是默认的首页。这时,我们需要使用 Spring Security 提供的自定义登录结果处理机制来满足这些需求。 在 Spring ...
spring security 3 多页面登录 小秘密小运气
03-28
在"Spring Security 3 多页面登录 小秘密小运气"这个主题中,我们可以深入探讨Spring Security 3如何支持多个登录页面以及其中可能涉及的一些技巧和策略。 首先,Spring Security的核心功能包括身份验证、授权、...
spring security loginProcessingUrl无效问题
wzq1915414095的博客
11-24 8818
近几天被一个朋友问道了一个loginProcessingUrl设置后无效的问题。 他的登陆页面的接口是 /loginpage 这个前端页面的登陆按钮请求的url是 /login/doLogin 前端页面代码如下 <form action="/login/doLogin" method="post"> <input type="text" name="username" /> <input type="password" name="password"/>
SpringSecurity框架登陆模块案例以及出现的重定向和403报错问题解决方式
qq_41174684的博客
05-13 3727
查看linux中的ip地址:ifconfig 为什么需要安全登陆模块,正常情况下,我们在系统的登陆页面要进行用户名和密码的验证,这个时候输入了正常的用户名和密码之后将会进入系统,但是实际上这种也是不安全的,不输入用户名和密码(不通过登陆)直接在浏览器中输入页面的路径也会进入系统,因此要控制这种不进行登陆就进入系统的情况,因此要在进入页面的时候判断用户是否是登陆了,如果是登陆状态就可以看,换句话说,...
springsecurity登录后依然跳回登录页面的问题
qq_34204490的博客
08-04 6111
一、环境: spring-security 4.0 spring 4.1 二、问题描述: 今天在配置springsecurity时,无论登录密码是否正确均跳转登录首页,原始配置如下 <http auto-config="true"> <intercept-url pattern="/" access="hasRole('ROLE_USER')" /&...
springsecurity登录成功跳转
05-26
Spring Security中,可以通过配置实现登录成功后的跳转,具体步骤如下: 1. 配置登录页面Spring Security的配置文件中,配置登录页面,例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .defaultSuccessUrl("/home") .permitAll() .and() .logout() .permitAll(); } ``` 这里的`loginPage("/login")`表示登录页面的URL是`/login`,`.defaultSuccessUrl("/home")`表示登录成功后跳转到`/home`页面。 2. 配置登录成功处理器 在Spring Security的配置文件中,配置登录成功处理器,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/login").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .successHandler(loginSuccessHandler()) // 配置登录成功处理器 .permitAll() .and() .logout() .permitAll(); } @Bean public AuthenticationSuccessHandler loginSuccessHandler(){ return new AuthenticationSuccessHandler() { @Override public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException { httpServletResponse.sendRedirect("/home"); // 登录成功后跳转到/home页面 } }; } } ``` 这里的`successHandler(loginSuccessHandler())`表示在登录成功后调用一个名为`loginSuccessHandler`的Bean,该Bean是一个实现了`AuthenticationSuccessHandler`接口的类,在其`onAuthenticationSuccess`方法中实现登录成功后的跳转。 以上就是在Spring Security中实现登录成功后跳转的步骤。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值