SpringSecurity整合JWT,经过SpringCloudGateway转发请求,出现发起同一个请求,第一次请求通过,后面的相同请求出现403的问题

最新推荐文章于 2024-05-07 13:29:41 发布
最新推荐文章于 2024-05-07 13:29:41 发布
阅读量1.4k 收藏 7
点赞数 1
文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35474948/article/details/106007290
版权

今天遇到了一个问题,在发起请求,经过SpringCloudGateway网关,然后转发到具体的微服务处理时,出现第一次请求通过,后面再请求同一个地址时,出现403拒绝访问的问题。

问题描述:

  1. 在header中携带token,并发起请求
  2. 将token解析后的用户信息,通过SecurityContextHolder.getContext().setAuthentication()保存在上下文环境中
  3. 请求结束后,发起第二次请求,发现Authentication中的Principal变成了“anonymousUser”
  4. 然后出现了403 forbidden的错误

解决方案:

    //安全拦截机制
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/**").permitAll()
                .anyRequest().authenticated()
                .and().csrf().disable()
                // 定制我们自己的 session 策略:调整为让 Spring Security 不创建和使用 session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    }

在拦截配置中加上sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS),调整为让 Spring Security 不创建和使用 session。

再次发起相同请求时,就不会再出现403 forbidden的问题了。

特此记录一下这个问题的解决方案,具体原因不详,待日后有空,再做深入研究。

余鱼鱼<。)#)))≦
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
整合Spring SecuritySpring Cloud Gateway的过程通常包括以下步骤: 1. **配置Redis**:由于微服务架构中多个服务可能需要共享用户信息,因此使用Redis作为集中式的session存储是常见的选择。这样,用户在任一...
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7148
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 4601
解决使用Spring-Security框架发送请求出现403错误的问题
网关gatewayspringsecurity整合
最新发布
wang01_01的博客
05-07 1908
我们一般在微服务的开发中,除了网关之外还有一个认证服务。他们两个都需要整合springsecurity。为啥要这么干:因为springsecurity就是能干好多事,认证(就是账号密码)和授权(就是你能干啥)。然后网关和认证服务就是分别干这两个事的 ,所以相当于拆分了一下springsecurity的功能分别完成一件事。网关统一授权:业务服务中每个微服务都需要区分不同的人干不同的事,所以就是放到网关这里进行统一授权。
用了SpringSecurity后怎么全是403Forbidden
weixin_43593829的博客
05-12 7142
前言 前段时间倒腾Spring Security,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden,刚开始以为是权限配置错误,仔细检查了N遍,配置没有错误,但是登录之后接口返回确实是403Forbidden权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden,陷入对夜晚深深的思考~ 问题发现 确认问题肯定是由S
spring-security出现HTTP Status 403 - Forbidden错误
qq_41823899的博客
01-02 6801
首先我们先来看一下错误: 控制台打印这一串错信息: org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:84) a...
gateway转发websocket显示403(Forbidden) 已解决
weixin_45677046的博客
10-26 5023
gateway结合websocket使用显示403(Forbidden)
SpringSecurity整合Jwt过程图解
08-25
要想使用SpringSecurityJwt,我们需要创建一个新的Spring Boot项目,并导入相关依赖项。这些依赖项包括spring-boot-starter-securityspring-boot-starter-web和jjwt。其中,spring-boot-starter-security提供了...
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
因此,本文将详细介绍如何将SpringSecurityjwt整合SpringBoot项目中,以提供一个安全的身份验证和授权机制。 什么是SpringSecuritySpringSecurity是一个基于Java的安全框架,它提供了一个灵活的安全机制来...
SpringBoot2.6整合SpringSecurity+JWT
01-11
Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和授权机制,广泛应用于微服务架构中。 **一、Spring Security简介** Spring Security是一个全面的、高度可...
springboot+springSecurity+jwt实现的基于token的权限管理的一个demo
02-16
这个“springboot+springSecurity+jwt实现的基于token的权限管理的一个demo”旨在演示如何在Spring Boot应用中集成这些技术,以创建一个安全的、基于令牌的身份验证系统。 首先,Spring Boot是Java领域的一个快速...
SpringCloud接口通过getway网关访问403
qq_1801743621的博客
09-22 1889
接口通过getway网关访问403。把这个包注释掉重新加载maven就可以正常访问接口了。但是,我是需要用到这个jar包的,下面提供解决方案!在网关提供几个接口出去给其它服务调用,发现不管是正常接口还是不存在的接口访问都是403
SpringSecurity登录验证没有权限的问题403
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
解决使用SpringSecurity产生的跨域接口调用失败问题
ls490447406的博客
11-26 1682
最近项目使用SpringSecurity作为服务鉴权框架,但是由于前后端分离,在前后端分别部署在不同的服务器导致产生跨域问题,其实简单的跨域问题,通过设置参数就很好解决,但是在使用了Security时,设置了参数依然调用接口时候被拦截,报401错误,提示登录。后来发现,在调用正式接口之前,会首先发出一个试探请求请求方式为OPTIONS,但是这个试探请求里是无法将请求所需要的token等一些信息放...
Spring-Secriuty登录失败错误状态999重定向302
hey_wei_ran的博客
08-09 535
Spring Secriuty登录失败错误状态999重定向302
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7149
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
springcloud gateway解决跨域问题
热门推荐
夏末安的博客
09-17 1万+
因为前后端分离,采取的前端页面直接调用后端的域名,故存在跨域问题。 首先想到的是直接在nginx层解决,配置如下,用了两种方式: // 方式一 if ($request_method = 'OPTIONS') { add_header 'Access-Control-Allow-Origin' '*'; add_header 'Access-Control-Allo...
Spring cloud gateway + JWT时Netty限制header大小导致请求bad Request问题解决
maybe的博客
12-24 5288
写得比较匆忙,本文主要以整体微服务架构简述开头,按照问题排查过程叙述,加以springboot启动源码浅析和解决办法。 如有错误请指正 先说版本Spring boot 2.0.4。Spring cloud F版 jdk1.8 我们目前的微服务架构,当用户登录后会发放JWT的token令牌给前端,之后的请求都将此token放到http的header中传入后台。 但是前端调用时发现之前正...
SpringCloud Gateway 实现自定义全局过滤器 + JWT权限验证
知道的越多 不知道的就越多
08-09 8850
1、gateway filter的生命周期Spring Cloud Gateway同zuul类似,有“pre”和“post”两种方式的filter。客户端的请求先经过“pre”类型的filter,然后将请求转发到具体的业务服务,收到业务服务的响应之后,再经过“post”类型的filter处理,最后返回响应到客户端pre类型的filter:在业务逻辑之前post类型的filter:在业务逻辑之后2、gateway filter的应用场景。...
SpringCloud gateway+Spring Security + JWT
08-11
SpringCloud Gateway是一个基于Spring Framework 5,Spring Boot 2和Project Reactor的反应式API网关,它提供了一种简单而有效的方式来路由请求和过滤器请求,可以用于构建微服务架构中的网关层。 Spring Security是一个强大且灵活的身份验证和访问控制框架,可以集成到Spring应用程序中,用于保护应用程序的安全性。 JWT(JSON Web Token)是一种用于在网络应用间传递声明的一种基于JSON的开放标准。它可以通过数字签名来验证数据的完整性,并使用密钥对数据进行加密。 结合SpringCloud GatewaySpring SecurityJWT可以实现一个安全的微服务架构。在这种架构中,SpringCloud Gateway作为网关层负责路由请求和进行安全过滤,Spring Security用于进行身份验证和访问控制,而JWT则用于传递和验证身份信息。 具体实现方案可以参考以下步骤: 1. 在SpringCloud Gateway中配置路由规则,将请求转发到相应的微服务。 2. 在Spring Security中配置身份验证和访问控制规则,例如用户名密码验证、角色授权等。 3. 在用户登录时生成JWT,在每个请求中将JWT作为Authorization头部发送给网关。 4. 网关收到请求后,解析JWT并验证其有效性和签名,如果验证通过,则将请求转发到相应的微服务。 5. 微服务在接收到请求后,可以通过解析JWT获取用户身份信息,并根据用户的权限进行相应的业务处理。 以上是一个简单的概述,具体的实现需要根据实际需求进行配置和开发。希望对你有所帮助!如果你还有其他问题,请继续提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值