SpringBoot整合SpringSecurity遇到的SESSION验证问题

最新推荐文章于 2022-11-21 00:46:51 发布
最新推荐文章于 2022-11-21 00:46:51 发布
阅读量4.3k 收藏 9
点赞数 4
文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33388068/article/details/121671802
版权

前言

项目是之前的老项目springmvc+jsp项目改的,因为需要对框架做改动,功能没有大改动,所以没有采用前后端分离的方式,后端采用springboot+spring security前端还是jsp,所以还是session验证的方式登录。但是整合好后测试发现问题,每次登录跳转到首页之后刷新页面又重定向到了login页面

问题解决

1、问题出现的原因

因为人比较懒,框架直接用之前前后端分离的项目,配置里面SecuityConfig也是延用前后端分离的配置,这样创建完就发现一个问题:每次请求后端接口的session都不一致,这时候刷新页面重新请求后台得到是新的session,系统判断没有登录就会重新跳转到login页面

在排查的时候发现Security的配置SecuityConfig里面有这一行:

http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)

这个是配置是session的生成策略,这个枚举类型,有几个类型,点击去查看

其中:

ALWAYS

总是创建HttpSession

IF_REQUIRED

Spring Security只会在需要时创建一个HttpSession

NEVER

Spring Security不会创建HttpSession,但如果它已经存在,将可以使用HttpSession

STATELESS

Spring Security永远不会创建HttpSession,它不会使用HttpSession来获取SecurityContext

问题就出在这里,我们的前端是jsp验证需要用session验证的方式,这样的配置session生成策略是STATELESS,就是不生成session,这样的配置还是之前前后端分离的配置,用在这里就不对了。

2、问题解决

咱们需要把生成session的策略改成ALWAYS,用session的方式验证。

将这个配置改成如下:

.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.ALWAYS);

测试问题解决!

3、其他问题记录:

接口请求POST返回403,通过查阅资料,Security采用的CSRF(Cross-site request forgery跨站请求伪造)默认支持的方法: GET|HEAD|TRACE|OPTIONS,不支持POST。

需要在security在配置中禁用掉它。加如下配置:

.and().csrf().disable()

 3、总结

其实是因为自己懒直接用之前的前后端分离的配置导致的,还有SpringSecurity有些配置还是需要了解他是做什么的,不然后面遇到其他问题也不知为什么。

这里就记录一下:

.cors()是开启跨域;
.csrf().disable() 是禁用使用跨站请求,可解决POST请求403问题;
.sessionManagement().sessionCreationPolicy(X)是session的生成策略,前后端分离的时候配置成STATELESS,非前后端分离的需要配置成ALWAYS

原创不易,转载请注明出处!

qq_33388068
关注
  • 4
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Springboot+SpringSecurity实现权限控制(二、用户登录认证)
一念永恒
03-09 1728
配置Security核心配置类 将WebSecurityConfig放在auth包下 右击鼠标-->点击Generate... -->点击Override Methods... 选择下面的三个configure 禁用防护: http.csrf().disable() 禁用Session的配置: .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) 禁用缓存: .headers().c
SpringSecurity 配置(登陆验证session失效等等)
共勉
09-28 1993
SpringSecurity安全配置—SSH整合 项目中使用了SpringSecurity,将SpringSecurity安全配置整理出来,实现SpringSecurity安全配置登陆,供需要的朋友参考 使用Springsecurity首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-secur...
Web Services Security安全机制
03-18
本系列将介绍有关Web Services 安全有关的内容,其中涉及技术: XML Signature,XML Encryption和SAML,WS-Security,WS-Trust等等。在本系列的文章中将主要关注其原理,以及个人对相关技术的理解。在MS不断更新的WSE系列中,安全可以算是其中的重要内容,如果可能将结合原理用WSE做一些技术实践。
SpringCloud-无状态Session配置方法一
wendy专栏
12-04 5494
1、需求 rest客户端访问rest服务端默认状态的配置策略是:无状态的; 假如默认配置策略不是无状态配置,则需要配置为无状态; 若不配置无状态,则rest服务端会爆掉,堆积海量的sessionId;   2、Session状态策略:org.springframework.security.config.http.SessionCreationPolicy public enum S...
如何使用Spring Security控制会话
allway2的博客
11-18 3410
并发会话控制功能用于维护活动会话列表以及关联的经过身份验证的用户的信息。我们在本文前面配置了 Spring 安全性使用此事件发布来发布会话生命周期中的事件,并且相应地更新了 SessionRegistry。每次登录的客户尝试访问应用程序的安全部分时,都会检查用户的活动会话。以下是安全性中可用的选项,可以帮助我们配置和控制会话创建。会话超时后,如果他们提交具有无效会话 ID 的请求,我们可以将使用重定向到特定页面。在本文中,我们讨论了 Spring 安全会话管理以及如何使用 Spring 安全性控制会话。
SessionCreationPolicy 枚举常量
weixin_33877092的博客
06-09 4134
2019独角兽企业重金招聘Python工程师标准>>> ...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurity和jwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合Spring BootSpring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
SpringBoot+SpringSecurity+WebSocket
04-11
在"SpringBoot+SpringSecurity"的组合中,SpringSecurity负责处理用户身份验证和权限管理,确保只有经过授权的用户才能访问特定的资源和服务。这在WebSocket应用中尤为重要,因为WebSocket连接一旦建立,就可能长期...
SpringBoot集成Spring Security入门程序并实现自动登录【完整源码+数据库】
02-16
在这个入门程序中,我们将深入理解如何将SpringBootSpring Security整合,以实现用户身份验证和授权功能,并通过自动登录功能提升用户体验。 首先,Spring Security的核心功能包括身份验证(Authentication)和...
10-SpringSecurity:JWT及无状态服务
Heartsuit的博客
01-13 755
背景 本系列教程,是作为团队内部的培训资料准备的。主要以实验的方式来体验 SpringSecurity 的各项Feature。 会话管理,是一个比较大的话题,大家熟知的Cookie-Session模式就忽略掉,今天重点介绍无状态会话:基于令牌的JWT(JSON Web Token),适用于微服务架构的会话管理方式;后续会涉及计到Session共享、OAuth2.0等关于分布式集群的会话管理。 JWT简介 关于JWT的介绍,网上资源有很多,可参考:https://jwt.io/introduction,简单来
【若依框架】登录,token,自定义session,鉴权等前后端流程解读
kouryoushine的博客
08-13 2万+
背景 之前虽然讲了login,getInfo,getRoutes的三个接口,但从设计的角度来讲,这3个接口并没有完整实现一个功能。这里重点讲解若依框架对于自定义session,token校验,权限验证三个方面的实现。这些对于自己实现一个简单的后端框架有不错的参考意义 功能说明 登录功能\login及token的生成 权限过滤校验 自定义session 前端如何配合 可以参考上一篇博客 登录及token生成 主要解决的是用户登录、生成token和session的场景 前端 用户登录页输入usernam
SpringSecurity登陆接口
Leon_Jinhai_Sun的博客
06-05 4552
SpringSecurity
spring security 会话管理
swadian2008的博客
08-28 2126
用户认证通过后,为了避免用户的每次操作都进行认证可将用户的信息保存在会话中。spring security 提供会话管理,认证通过后将身份信息放入SecurityContextHolder上下文,SecurityContext与当前线程进行绑定,方便获取用户身份。...
总结我的笔记
ziwenCSDN的博客
08-10 283
一,在Spring 中想要过滤一些接口,适应这样的应用场景:我们默认给所有的接口设置了oauth2.0的认证,但是在这些接口中有一些比如 注册接口就不需要认证,怎么办哩? 继承这个类:WebSecurityConfigurerAdapter, 如下的这个例子: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurit
SpringSecuritySpringSecurity版本5.7.4静态资源放行失败解决,SpringBoot版本2.7.5
nifengdeshuye的博客
11-21 5338
Spring Security静态资源访问被拦截,无法实现。static目录无法访问,但其它的目录可以访问,或者配置SpringMVC的静态资源映射,映射到static目录。
springboot整合security及token验证
缔曦的博客
09-01 6884
缘由 添加security安全框架,去除session,使用token票据验证 ps:token是指登录后向客户端发送一个票据,下次发起请求时,验证票据即可,票据中包含用户登录等信息,不需要session。 步骤 1.实现UserDetailsService接口,security的认证中会执行这个接口中的loadUserByUsername方法。 2.自定义登录逻辑,调用security的authenticationManager对象执行登入验证security的配置就完成了。 3.在security中配
Spring Security 5.7 最新配置细节(直接就能用),WebSecurityConfigurerAdapter 已废弃
热门推荐
江帅帅
06-06 3万+
Spring Security 5.7.1 最新配置细节,WebSecurityConfigurerAdapter 已废弃
springboot整合springsecurity jwt
最新发布
03-16
Spring Boot可以很方便地整合Spring Security和JWT(JSON Web Token)。 首先,需要在pom.xml文件中添加以下依赖: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 然后,需要创建一个Security配置类,用于配置Spring Security和JWT: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Autowired private JwtRequestFilter jwtRequestFilter; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { // 配置用户认证方式 } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override protected void configure(HttpSecurity httpSecurity) throws Exception { httpSecurity.csrf().disable() .authorizeRequests().antMatchers("/authenticate").permitAll(). anyRequest().authenticated().and(). exceptionHandling().authenticationEntryPoint(jwtAuthenticationEntryPoint).and().sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); httpSecurity.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 在上面的配置类中,需要注入JwtAuthenticationEntryPoint和JwtRequestFilter两个类。其中,JwtAuthenticationEntryPoint用于处理未经授权的请求,JwtRequestFilter用于验证JWT并将用户信息添加到Spring Security上下文中。 接下来,需要创建一个JwtTokenUtil类,用于生成和验证JWT: ```java @Component public class JwtTokenUtil { private static final String SECRET_KEY = "secret"; public String generateToken(UserDetails userDetails) { Map<String, Object> claims = new HashMap<>(); return Jwts.builder().setClaims(claims).setSubject(userDetails.getUsername()) .setIssuedAt(new Date(System.currentTimeMillis())) .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10)) .signWith(SignatureAlgorithm.HS512, SECRET_KEY).compact(); } public boolean validateToken(String token, UserDetails userDetails) { final String username = getUsernameFromToken(token); return (username.equals(userDetails.getUsername()) && !isTokenExpired(token)); } private boolean isTokenExpired(String token) { final Date expiration = getExpirationDateFromToken(token); return expiration.before(new Date()); } private Date getExpirationDateFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getExpiration(); } private String getUsernameFromToken(String token) { return Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody().getSubject(); } } ``` 在上面的类中,需要设置一个密钥,用于生成和验证JWT。generateToken方法用于生成JWT,validateToken方法用于验证JWT是否有效。 最后,需要创建一个JwtAuthenticationEntryPoint类和一个JwtRequestFilter类。JwtAuthenticationEntryPoint类用于处理未经授权的请求,JwtRequestFilter类用于验证JWT并将用户信息添加到Spring Security上下文中。 以上就是整合Spring Security和JWT的基本步骤。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值