spring security踩的一个小坑

最新推荐文章于 2024-09-12 21:00:09 发布
最新推荐文章于 2024-09-12 21:00:09 发布
阅读量540 收藏
点赞数
分类专栏: spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26093341/article/details/80890274
版权
在使用Spring Security时遇到一个bug,当进行多线程数据导入时,由于调用response.getWriter().flush,导致登录cookie被清空。原因是Spring Security从当前线程上下文获取信息,而在新的线程中没有正确设置Security上下文。解决方案是通过SecurityUtils.runInThread将Security上下文设到当前线程,确保cookie不被清除。
摘要由CSDN通过智能技术生成

今天遇到的一个spring security的bug

在做多线程导入的时候 response.getWriter().flush导致cookie的登录token被清空,

主要是由于spring security是每次都从当前线程上下文拿信息,在flush的时候由于是多开了线程,因此cookie被清掉了,解决办法是拿到当前Security上下文(SecurityUtils.runInThread)并set到当前

最低0.47元/天 解锁文章
BPBX
关注
专栏目录
Spring Security 6.x 系列【44】微服务篇之统一身份认证实现方案
记录知识、锤炼自我
05-26 1714
在微服务架构中,前后端分离基于JSON进行数据交互,前端不仅有浏览器,还会有APP、H5、小程序等。 微服务中的后台应用一般都会按功能职责拆分为很多个独立应用,比如一个电商系统,会拆分为用户、订单、商品、库存、支付、商家管理等。一个大型项目后台应用可能有成千上万个,每个独立服务的职责都是单一的,对于登录认证来说,也是需要一个独立的服务,不可能每个服务实例都提供登录功能。
Spring Security Oauth2源码BUG认证并发用户身份信息混乱问题
KingdomCoder
04-15 2038
1.背景: 随着业务的增长,线上系统qps越来越高,起初市场同事和客户偶尔会反馈用户看到的信息出现的不是自己的信息,但是重新刷新之后就好了,当时我们就对这个问题进行分析,但是都是无疾而终,没有找到问题所在,随着用户增长的基数越来越大,出现这个问题的现象也就更加频繁,所以我们团队对于这个线上事故就非常重视,开始对于整个请求链路分析,我们用户端使用的是一款我们自研的客户端,当时我们分析出来可能存在的几个原因: 同一个客户端,不同用户登录,本地缓存的token混乱。 客户端因为某种特定场景下拿到了别人的toke
spring security的坑
成都彭于晏
01-27 1428
security配置文件里面增加放行域名的时候要注意 security底层是根据字符串对比来判断两个域名是否为同一域名的 所以localhost和127.0.0.1不一样 不一样 不一样 不一样 嘤嘤嘤~
SpringSecutiry的bug记录
最新发布
qq_63919886的博客
09-12 126
使用 SpringSecurity 的logout登出之后,不允许用户再次登录。暂时只能将maxSessionsPreventsLogin设为false ,让后登录的挤掉先登录的,或者自定义登出的操作,这个可能是一个SpringSecutiry的官方bug吧。首先我配置了并发控制,将最大并发登录数设为1,同时maxSessionsPreventsLogin设为true,这意味着,同一个账号,后登录的不会挤掉先登录的,而是会不允许登录。
Spring Security一些避坑指南
Software As Business
04-02 572
Spring Security一些避坑指南关于登录验证流程的坑Security 登录验证流程(不需要传入密码)Security 登录成功获取用户信息(密码为NULL)Security 通过Json 返回数据 最近开始在项目上使用Security, 之前只是修改别人写好的,很多原理不明白。这次有幸自己搭建框架。期间是一言难尽。下面会说说一些常见的坑 关于登录验证流程的坑 Security 登录验证流程(不需要传入密码) 此处是一个流程理解问题,在security的登录过程中是采取以用户名为查询条件,重写Use
SpringSecurity采坑与实战
qq_19663899的博客
03-08 1754
简介 整合下springboot与security,通过二者简单的搭建一个登录访问的权限控制,话不多说直接上实战 HellWord 导入pom依赖 <!-- 添加springsecurity依赖 --> <dependency> <groupId>org.springframework.security&l...
Spring Boot + Spring Security 实战代码教程及过的坑(小白创作)
weixin_48074496的博客
06-14 1730
本文章是一个小白学习Spring Security的全部过程及过坑 先是准备对应DAO层代码 @Op package edu.gdit.dormitory_repair_system.Dao; import edu.gdit.dormitory_repair_system.Model.Role; import edu.gdit.dormitory_repair_system.Model.User; import org.apache.ibatis.annotations.Mapper; impo
SpringSecurity快速集成实战教学
淮宁湾的博客
08-20 553
SpringBoot项目中集成SpringSecurity 为了防止没有接触过的朋友看了半天不知道我讲了啥的情况出现 先给大家简单的介绍一下SpringSecurity 一,SpringSecurity简介 1,什么是SpringSecurity SpringSecurity框架作为Spring家族一员。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了 Spring IoC , DI(IoC:Inve
springboot版本升级,及解决springsecurity漏洞问题
喜羊羊love红太狼
05-06 2072
项目中要解决 Spring Security RegexRequestMatcher 认证绕过漏洞(CVE-2022-22978) 漏洞问题,并且需要将项目的版本整体升级到boot版本2.1.7,升级改造过程非常的痛苦,一方面对整个框架的代码不是很熟悉,另外对解决漏洞问题相对较少。但是明明可以用鼠标点击进去,此类问题经常是idea,什么缓存,或者是pom依赖下载不全导致,然后就陷入了这个误区,一直以为是idea的问题,然后idea缓存清理了很多次还是无法解决。此时我就怀疑可能不是idea的问题了。
Spring Security(二)
时长两年半的Bug制造者
08-25 148
spring-security 配置匿名访问资源 第一步:在项目中创建js、css目录并在两个目录下提供任意一些测试文件,再创建登录和注册页面 第二步:在spring-security.xml文件中配置,指定哪些资源可以匿名访问 <!--0.配置匿名访问--> <security:http pattern="/js/**" security="none"></secu...
Spring Security 入门
底层码农
09-16 6178
Spring Security4
19.SpringSecurity存在的问题及解决方案
自能生羽翼,何必仰云梯
09-14 1155
一般情况下 ,Spring Security 应用在一个单体项目中,此时只存在一个独立的项目,你访问一个资源,需要输入用户名和密码就行了随着软件环境和需求的变化,软件的架构通常都会由单体结构演变成具有分布式架构的分布式系统。而分布式系统的每个服务都会有认证、授权的需求。如果每个服务都实现一套认证逻辑,就会非常冗余并且不现实。而针对分布式系统的特点,一般就会需要一套独立的第三方系统来提供统一的授权认证服务。
SecurityContextHolder.getContext()获取不到Security上下文数据?
本人的技术和文笔有限,正在努力成长中,请各位朋友多多指正与包涵!
05-08 1966
在使用 MODE_INHERITABLETHREADLOCAL 安全策略时,您需要小心处理多线程环境下的安全性问题,以避免出现数据竞争、死锁等问题。同时,这种模式可能会对应用程序的性能产生一定的影响,因为它需要通过序列化和反序列化来传递安全上下文信息。因此,在使用 MODE_INHERITABLETHREADLOCAL 安全策略时需要小心,确保在必要的情况下使用它,以避免性能问题。我的项目中出现这个问题是由于使用了异步线程(如下),导致Security上下文无法从主线程传递到异步线程中。
spring security 找不到用户信息的原因
nhy520
05-27 1207
折腾了两天,终于解决了,spring security 的用户信息终于可以取出来了.网上的解决办法都没有效果.spring security 2.0.4 把用户信息存入本地线程,通过SecurityContextHolder来获取,第一次请求完成后,则后清空用户信息 如源码: finally {                // This is the only place in thi...
应用Spring Security安全框架时,异步操作中安全上下文丢失问题的解决方案
qq_32734365的博客
08-21 4067
问题描述 笔者最近在开发项目时遇到一个问题,项目应用Spring Security+JWT的安全框架,用户访问时前台会在Header中携带Authorization头,SS对其进行认证并将当前登录的主体信息存储到安全上下文,在当前用户访问的任何地方都可以通过安全上下文获取登录用户的信息(例如用户名、用户手机、用户id等等),但在请求中启用另外的线程执行之后操作的时候,笔者发现异步线程中的安全上下...
SecurityContextHolder
Leon_Jinhai_Sun的博客
05-06 1856
SecurityContextHolder 用来获取登录之后用户信息。Spring Security 会将登录用户数据保存在 Session 中。但是,为了使用方便,Spring Security在此基础上还做了一些改进,其中最主要的一个变化就是线程绑定。当用户登录成功后,Spring Security 会将登录成功的用户信息保存到 SecurityContextHolder 中。SecurityContextHolder 中的数据保存默认是通过ThreadLocal 来实现的,使用 ThreadLocal
Spring Security授权源码分析
Charge8的博客
01-09 1137
Spring Security授权源码分析
关于SpringSecurity设置Cookie的问题
m0_67393593的博客
03-24 3930
关于前后端分离SpringSecurity设置Cookie的问题 今天刚入手SpringSecurity,很多不是太懂,在github找到个dome github地址:https://github.com/ChinaSilence/spring-security-demos 然后发现SpringSecurity登录成功之后访问需要登录的接口依然是返回未登录,看了demo中的文档,登录成功之后响应头会携带一个cookie绑定到本地,然后请求需要登录的接口的时候需要携带这个cookie。 在登录接口响应头中有
Spring Security 实现单终端登录:自动踢除前一个用户
Spring Security中实现自动踢掉前一个登录用户的功能是一个常见的需求,特别是在需要限制用户在同一时间只能在单一终端登录的应用场景中。这篇文章通过实例代码详细讲解了如何在Spring Security中配置以达到这一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值