Spring Boot整合Spring Security(五)登出与未认证(授权)处理

最新推荐文章于 2024-05-28 09:55:01 发布
最新推荐文章于 2024-05-28 09:55:01 发布
阅读量1.1k 收藏 3
点赞数
分类专栏: # Spring Security demo 文章标签: spring spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq3031195374/article/details/128827089
版权

阅前提示

此文章基于Spring Security 6.0

Spring Security中的登出配置

由于登出没什么好讲的,那就直接上代码

 @Configuration
 @EnableWebSecurity
 public class LogoutSecurityConfig {

        @Bean
        public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
                http.authorizeRequests().requestMatchers("/**").hasRole("USER").and().formLogin()
                                .and()
                                // sample logout customization
                                .logout().deleteCookies("JSESSIONID").invalidateHttpSession(false)
                                .logoutUrl("/custom-logout").logoutSuccessUrl("/logout-success");
                return http.build();
        }
}

在上面的配置中,当URL “/custom-logout"被调用后,删除名为JSESSIONID的cookie,清除SecurityContextHolder,但不会使httpSession无效,然后重定向到”/logout-success"中
对于不使用session与cookie的项目,可以这样配置

 @Configuration
 @EnableWebSecurity
 public class LogoutSecurityConfig {
		@Autowired
    	private SecurityLogoutSuccessHandler logoutSuccessHandler;
        @Bean
        public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
                http.authorizeRequests().requestMatchers("/**").hasRole("USER").and().formLogin()
                                .and()
                                .logout()
                                .logoutUrl("/custom-logout")
                                .logoutSuccessHandler(logoutSuccessHandler);
                return http.build();
        }
}

@Component
public class SecurityLogoutSuccessHandler implements LogoutSuccessHandler {
    @Override
    public void onLogoutSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
        SecurityContextHolder.clearContext();
        //TODO clear the data of login user
        response.getWriter().println("{success:true}");
    }
}

忘记了默认有没有清空SecurityContextHolder了,反正再清空一遍也不要紧,就写着好了。把记录登录用户的数据(redis或者内存什么的)删除

Spring Security中异常配置(未认证,未授权管理)

@Configuration
 @EnableWebSecurity
 public class ExceptionHandlingSecurityConfig {

        @Bean
        public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
                http
                        .authorizeRequests((authorizeRequests) ->
                                authorizeRequests
                                        .requestMatchers("/**").hasRole("USER")
                        )
                        // sample exception handling customization
                        .exceptionHandling((exceptionHandling) ->
                                exceptionHandling
                                        .accessDeniedPage("/errors/access-denied")
                        );
                return http.build();
        }
 }

上面的配置是,当遇到403 拒绝时,重定向到"/errors/access-denied"页面。

@Configuration
 @EnableWebSecurity
 public class ExceptionHandlingSecurityConfig {

    //认证入口处理类(未认证情况下访问需认证访问资源)
    @Autowired
    private SecurityAuthenticationEntryPoint securityAuthenticationEntryPoint;

    //没有权限处理类
    @Autowired
    private SecurityAccessDeniedHandler securityAccessDeniedHandler;
     
        @Bean
        public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
                http
                        .authorizeRequests((authorizeRequests) ->
                                authorizeRequests
                                        .requestMatchers("/**").hasRole("USER")
                        )
                        // sample exception handling customization
                        .exceptionHandling(exception -> {
                    exception
                            .authenticationEntryPoint(securityAuthenticationEntryPoint)
                            .accessDeniedHandler(securityAccessDeniedHandler);
                });
                return http.build();
        }
 }

@Component
public class SecurityAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.getWriter().println("{success:false,code:401,message:" + authException.getMessage() + "}");
    }
}

@Component
public class SecurityAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.getWriter().println("{success:false,code:403,message:" + accessDeniedException.getMessage() + "}");
    }
}

对于前后端分离项目来说,页面是从前端项目获取的,不需要后端提供,后端只要提供数据就行了。自定义401与403处理类,只返回数据

时雨吹雪
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
基于SpringSecurity OAuth2实现单点登录——认证的请求是如何重定向到登录地址的?(SpringSecurity认证流程)
向心行者
06-12 2989
1、前言   在上一篇《入门示例和流程分析》的流程分析过程中,当第一次(认证的情况下)访问应用A(http://localhost:8082/index)时,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),从浏览器这个视角我们看到的是这样的情况,那么在应用A的服务端又经历了什么呢?我们通过代码进行分析。 2、SpringSecurity过滤器链   这节分析的问题,其实就是SpringSecurity关于认证过程的逻辑。SpringSecurity实现认证
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2821
SpringSecurity实现登录登出
SpringbootActuator授权访问漏洞
最新发布
潇逗
05-28 2671
Actuator 是 SpringBoot 提供的用来对应用系统进行自省和监控的功能模块,借助于 Actuator 开发者可以很方便地对应用系统某些监控指标进行查看、统计等。然而,其默认配置会出现接口授权访问,导致部分接口会泄露网站数据库连接信息等配置信息,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
SpringBoot集成SpringSecurity5和OAuth2 总结
Mr_XiMu的博客
10-29 2078
SpringBoot集成SpringSecurity5和OAuth2 总结
SpringSecurity登出实现
qq_58137891的博客
05-09 451
1.登录状态,发出的请求会被拦截。2.已登录状态下,每次发送请求都会在请求头中携带token,然后将用户信息存入SecurityContextHolder中,这是仅只需要将userId从中取出,并通过userId输出存在redis中的User信息便完成。再次用相同的token访问请求时会显示用户登录
认证后弄清Spring Security实现授权
陈宝子的博客
07-21 789
在简单学习完成Redis之后,又进行了SpringSecurity的学习,这里学习的资源为三更草堂的SpringSecurity框架教程,讲得感觉还不错,推荐😁。这里主要是对学习过程进行一个记录和总结,参考的仍然是三更草堂的笔记,但中间加上了自己的一些理解和看法以及一些遇到的问题总结,如果哪里有问题还请各位指点指点😻。这里是基于前面一篇文章《清晰搞懂SpringSecurity登录认证》进一步完善的,因此很多在另外一篇文章里面提及到的东西就不会过多的在这边进行重复赘述。/**...
springboot整合security5自定义处理认证、权限管理
wjs040的博客
07-25 741
首先引入security jar 包 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!---...
Spring Boot整合Spring Security简单实现登入登出从零搭建教程
08-26
在本教程中,我们将探讨如何使用Spring BootSpring Security整合,构建一个简单的登录登出功能。Spring Security是一个强大的安全框架,它可以为基于Spring的应用提供安全控制,包括认证授权等核心功能。通过...
springboot+springSecurity+jwt实现登录认证后令牌授权
09-12
在这个项目中,我们将探讨如何利用Spring BootSpring Security和JWT来实现登录认证后的令牌授权。 首先,让我们从Spring Boot开始。Spring Boot简化了Spring应用的初始搭建以及开发过程。通过提供默认配置,它极...
spring boot整合CAS配置详解
08-30
要在 Spring Boot整合 CAS,需要引入相关的依赖项,包括 CAS 客户端依赖项和 Spring Security 依赖项。下面是一个基本的示例配置: 首先,需要在 `pom.xml` 文件中添加以下依赖项: ```xml <groupId>org....
springboot整合springSecurity
04-19
SpringBootSpringSecurity整合Java后端开发中的常见实践,旨在提供安全的Web服务。Spring Security是一个强大且高度可配置的安全框架,它可以帮助开发者保护应用程序免受常见的安全威胁。Spring Boot则通过简化...
前后端分离 -- Spring Boot + Spring Security + Vue + ElementUI 实现用户认证
01-24
总结来说,通过Spring BootSpring Security,我们可以构建一个强大的后端安全框架,处理用户认证授权问题。而Vue.js结合Element UI,则为前端提供了高效的开发环境和友好的用户界面。这种技术栈组合,不仅降低了...
springboot2.7+springsecurity实现简单的登录登出
qq_31547897的博客
10-11 1332
springboot+springsecurity实现简单登录登出
【Spirngcloudalibaba】gateway下SpringBoot Actuator授权访问漏洞修复
m0_48771326的博客
06-07 2154
避免端点问题return 403;
SpringSecurity登录成功 访问别的接口说登录问题解决
qq_44605317的博客
01-09 1768
SpringSecurity登录成功 访问别的接口说登录问题解决
SpringBoot中的SpringSecurity进行鉴权屏蔽(解决token不存在/token is null等报错)
Olozee的博客
09-21 1002
最近在做一个使用大疆平台的项目时,遇到了对当前用户进行鉴权的问题,如果是不通过用户登录想要直接在后端调用一些接口的功能,会碰到token is null的报错。因为以前自己写项目都没有在用户上做过鉴权,所以对鉴权不太了解。开始想到的解决方法是固定一个曾经的用户token,后面发现这个方法:1.有时候会牵扯到其他的一些报错;2.不太合理(直接破坏了整个项目的结构和规则)。
Security详解
myli92的博客
05-12 1071
1.HttpSecurity常用方法 方法 说明 openidLogin() 用于基于 OpenId 的验证 headers() 将安全标头添加到响应 cors() 配置跨域资源共享( CORS ) sessionManagement() 允许配置会话管理 portMapper() 允许配置一个PortMapper(HttpSecurity#(getSharedObject(class))),其他提供SecurityConfigurer的对象使用 P
Spring Boot Actuator授权访问漏洞笔记
enthan809882的博客
04-26 5029
文章目录场景解决方案方案一 配置健康检查遇到的问题方案二 配置security(略) 场景 公司安扫,发现很多项目有 Spring Boot Actuator授权访问漏洞。 描述: 引入actuator的项目,很多路径授权就可以访问。例如: /info、/beans等。 实际这些都不应开放,最对只开放个健康检查/health。 解决方案 方案一 配置健康检查 endpoints.enabled = false endpoints.health.enabled = true 对,你没看错,就是这么简单。
Springboot +spring security,如何解决Session共享问题
weixin_40991408的博客
05-25 1145
Springboot +spring security,如何解决Session共享问题
Spring Boot 2.0 利用 Spring Security 实现简单的OAuth2.0认证方式1
05-17
OAuth2.0是一种常用的认证授权机制,Spring SecuritySpring框架中的安全模块,可以实现OAuth2.0认证。本文将介绍如何利用Spring Boot 2.0和Spring Security实现简单的OAuth2.0认证方式1。 1. 添加依赖 在项目的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值