解决Spring cloud 整合security,token过期以后跳转默认登录页的问题

最新推荐文章于 2023-12-20 15:41:07 发布
最新推荐文章于 2023-12-20 15:41:07 发布
阅读量2.7k 收藏 2
点赞数 2
分类专栏: 问题记录 文章标签: spring boot java gateway
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37611096/article/details/117228310
版权

解决Spring security token过期以后跳转默认登录页的问题

1、背景

因为启动新项目,用到了spring security的架构。新项目是一个前后端分离的项目,但是整合进来以后,登录没有问题,但是只要401,就会弹出spring security的默认登录页。如下图
在这里插入图片描述

排查过程

试过很多方式,比方:禁用formLogin(),禁用httpBasic都没有用,包括在@SpringBootApplication注解上加(exclude = {SecurityAutoConfiguration.class})也不行。谷歌百度的方法大多都试过了,找不到合适的解决办法。
后来突然想到项目中的security引入是借鉴的码云的一个大佬的项目,就想试试看别人的项目会不会也这样,结果跑起来发现并不会。这样就找到解决的方向了,一定是配置出现了什么问题。所以就在一切在401可能访问到的过滤器上打断点,然后和自己项目对比,终于发现了区别。是自定义继承HttpBasicServerAuthenticationEntryPoint的类有区别
码云大佬地址:https://gitee.com/AloneH/spring-security_springcloud-gateway.git

package com.vdpub.auth.security.webflux.handler;

import com.vdpub.auth.security.webflux.utils.ResponseUtil;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.http.server.reactive.ServerHttpResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.server.authentication.HttpBasicServerAuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import org.springframework.util.Assert;
import org.springframework.web.server.ServerWebExchange;
import reactor.core.publisher.Mono;

/**
 * @description: 自定义token验证失败处理逻辑
 *  *                  1、token验证失败的处理逻辑(token为空,或者过期时)
 *  *                  2、设置响应头
 *  *                  3、写入响应内容
 * @author: Max
 * @create: 2021-03-05 17:53
 **/
@Component
public class CustomHttpBasicServerAuthenticationEntryPoint extends HttpBasicServerAuthenticationEntryPoint /* implements ServerAuthenticationEntryPoint */{


    /**新的定义*/
    private static final String WWW_AUTHENTICATE = "WWW-Authenticate";
    private static final String DEFAULT_REALM = "Realm";
    private static final String WWW_AUTHENTICATE_FORMAT = "Basic %s"; // 区别所在

    
    /**原定义***/
//    private static final String WWW_AUTHENTICATE = "WWW-Authenticate";
//    private static final String DEFAULT_REALM = "Realm";
//    private static String WWW_AUTHENTICATE_FORMAT = "Basic realm=\"%s\""; // 区别所在
    
    private final String headerValue = createHeaderValue(DEFAULT_REALM);
    public CustomHttpBasicServerAuthenticationEntryPoint() {
    }

    /**
     * 创建错误响应头中的Authenticate
     * @param realm
     * @return
     */
    private static String createHeaderValue(String realm) {
        Assert.notNull(realm, "realm cannot be null");
        return String.format(WWW_AUTHENTICATE_FORMAT, realm);
    }


    @Override
    public Mono<Void> commence(ServerWebExchange exchange, AuthenticationException e) {
        ServerHttpResponse response = exchange.getResponse();
        // 设置响应头
        response.setStatusCode(HttpStatus.UNAUTHORIZED);
        response.getHeaders().set(WWW_AUTHENTICATE, this.headerValue);
        response.getHeaders().setContentType(MediaType.APPLICATION_JSON_UTF8);
        // 三设置 验证异常返回信息
        String responseBodyString = ResponseUtil.getResponse(e.getMessage(), HttpStatus.UNAUTHORIZED);
        byte[] responseBodyBytes = responseBodyString.getBytes();
        // 写入信息
        return response.writeWith(Mono.just(response.bufferFactory().wrap(responseBodyBytes)));
    }
}

解决办法

既然发现了是这里的区别,就直接进行了替换,将上述贴的代码中注释中的原定义内容换成新定义的内容即可。
主要是请求头的问题,换完以后,请求头由图一变为图二
图一:
在这里插入图片描述
图二:
在这里插入图片描述

至此问题解决,欢迎大家有问题一起讨论。不对地方也请大家指出、
转载请注明出处

桑卒想打门修斯
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
1.本项目为SpringCloud Gateway的微服务框架,整合SpringSecurity,微服务间使用Redis来获取登陆的用户信息。 2.由于Gat
仅需四步,整合SpringSecurity+JWT实现登录认证 !
macrozheng的专栏
12-11 1922
学习过我的mall项目的应该知道,mall-admin模块是使用SpringSecurity+JWT来实现登录认证的,而mall-portal模块是使用的SpringSecurity基于...
SpringSecurity提示Token过期返回错误代码而不是报系统繁忙的处理
Qyq0498的博客
02-18 4844
SpringSecurity对于每一个接口请求都会经过一个鉴权访问的Filter类,故Token过期的设置就在这里面处理啦。 第一步就是Security的入口啦,配置好SecurityConfig,注入所需要的所有Filter类 以下是我项目中的配置,仅供参考哈 package com.daqing.financial.hrauth.config; import com.daqing.financial.hrauth.filter.AdminAuthenticationProcessingFilter;
Springsecurity Oauth2 设置token过期时间
热门推荐
qq_44605317的博客
06-17 2万+
1.设置token过期时间 如果我们是从数据库来读取客户端信息的话 我们只需要在数据库设置token过期时间 client_id:客户端的id resource_ids:资源服务器的id,多个用,(逗号)隔开 client_secret:客户端的秘钥 authorized_grant_types: ...
详解token过期含义及解决token过期是否需要重新登录
weixin_64051447的博客
05-25 1万+
否则,客户端就重新登录即可。暂时没研究,有兴趣的朋友可以查查。详解token过期含义及解决token过期是否需要重新登录Web应用和用户的身份验证息息相关,从单一服务器架构到分布式服务架构再到微服务架构,用户安全认证和授权的机制也一直在演进,下文对各个架构下的认证机制做个总结。说明:JWT 最适合的场景是不需要服务端保存用户状态的场景,但是如果考虑到 token 注销和 token 续签的场景话,没有特别好的解决方案,大部分解决方案都给 token 加上了状态,这就有点类似 Session 认证了。
说说HttpClient三种Http Basic Authentication认证方式
KHOST的博客
09-08 1813
Http Basic 简介 HTTP 提供一个用于权限控制和认证的通用框架。最常用的 HTTP 认证方案是 HTTP Basic authentication。Http Basic 认证是一种用来允许网浏览器或其他客户端程序在请求时提供用户名和口令形式的身份凭证的一种登录验证方式。 优点 基本认证的一个优点是基本上所有流行的网浏览器都支持基本认证。基本认证很少在可公开访问的互联网网站...
SpringSecurity 退出登录/修改密码/重置密码 使JWT的token失效的解决方案
fenduo的博客
02-26 4951
利用数据库,存放一个token过期的时间字段 private LocalDateTime expireTime; 在创建token时,标注上创建的时间.setIssuedAt(new Date())。 如果这个创建时间小于 (修改密码、重置密码、退出登录)操作的更新时间expireTime,就表示它是修改或者登出之前的token,为过期token token创建时间>数据库中的token过期时间 ===抛出异常 token失效 1.设置token的创建时间 ...
Spring Cloud Gateway使用Token验证详解
08-26
主要介绍了Spring Cloud Gateway使用Token验证详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Vue利用路由钩子token过期跳转登录的实例
08-29
本篇将详细介绍如何利用Vue Router的路由钩子来实现在用户token过期后自动跳转登录。 Vue Router提供了多种类型的钩子,包括全局导航钩子、单个路由独享的钩子以及组件内的钩子。这些钩子的主要作用是在路由...
Springsecurity安全框架案例+多登录+redis+token
12-08
在本案例中,我们将深入探讨如何使用Spring Security构建安全框架,实现多登录功能,并结合Redis存储Token来提高系统的安全性与性能。 1. **Spring Security 基础** Spring Security 提供了全面的安全管理组件...
spring security oauth2 带过期token请求免登录接口被拦截
a435656923的博客
09-09 5311
简单说下,项目是springcloud架构,用的spring security oauth2 就是如果token过期了或者token错误了,请求开放的接口是会被看拦截的,但是不带token就能请求。有一种解决方案是在请求判断这个地址是不是免登陆的是的话把请求头的token给去掉,这种方法也可以做到,但是如果是登录用户的话在有必要获取到访问用户的时候就没方法拿到用户了,虽然这种情况比较少。 解决方案:重写原本的认证管理器 import org.springframework.security.auth
Spring security实现指定用户session过期
犁叔的博客
06-10 9640
在用户多角色的系统中,对用户的角色进行更新,完成更新后应让用户重新登录系统,否则用户将继续拥有被删除角色的权限或者对新增的角色依旧没有权限。Spring Security能通过是指定用户的session过期,从而很好的实现这一功能。 OK直接上代码: public class UserService { @Autowired private SessionRegistry session
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Spring Security采用JWT验证时filter异常处理和JWT续期问题
hey_lie的博客
11-03 2050
1.spring security JWT过滤器异常自定义处理 2.spring security 认证和授权时的异常自定义处理 3.JWT 续期问题
SpringCloud-Gateway网关统一登录鉴权+QQ第三方登录+Vue前后分离解决方案
qq1016499728博客
12-16 4850
网关Gateway服务 pom.xml springboot 2.3.3版本 <!--注册中心客户端--> <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</artifactId> </dependency> <!--网关
Token 失效退出至登录
CMDN123456的博客
08-10 3268
Token 失效退出至登录
记一次 spring security过期token请求免登录接口被拦截
want_to_future的博客
09-27 949
带着过期token访问已放行接口
Spring Security密码过期教程
allway2的博客
11-06 2221
然后尝试使用该用户的电子邮件登录,您应该看到应用程序要求更改密码,如下所示:尝试为 2 个新密码字段输入不同的值,然后单击更改密码按钮,浏览器应立即捕获错误:接下来,尝试输入错误的旧密码但相同的新密码并单击按钮, 您将看到以下错误:现在,使用正确的旧密码和两个相同的新密码提交表单,您应该看到以下屏幕:现在输入新密码登录,您应该能够登录应用程序。此筛选器类中的最后一种方法是在用户的密码过期时将用户重定向到更改密码面,如下所示:因此,您可以注意到更改密码面的相对 URL 是。映射到数据库表中的相应列,
用户token过期后,重新登陆后,让用户返回之前的
最新发布
m0_74382023的博客
12-20 782
1.在响应拦截器处,判断服务器那边token过期的code码(如:401)2.用户重定向到login面处,并携带当前面的url当作参数3.在用户登陆成功后,跳转默认前,判断是否携带有lastPath这个参数,如果有说明用户是重新登陆如果没有说明用户第一次登陆,给他跳转默认的首即可。
Spring Cloud 整合Spring Security token
09-08
对于Spring Cloud整合Spring SecurityToken认证,你可以按照以下步骤进行操作: 1. 首先,确保你已经配置好了Spring CloudSpring Security依赖。 2. 创建一个Spring Security的配置类,这个类应该继承自`WebSecurityConfigurerAdapter`,并且覆写`configure(HttpSecurity http)`方法。在这个方法中,你可以配置需要认证和授权的URL路径,例如: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/public/**").permitAll() .anyRequest().authenticated(); } } ``` 3. 创建一个Token生成和验证的服务类。你可以使用Spring Security提供的`Jwt`库来处理Token操作。这个服务类应该有两个核心方法:一个用于生成Token,一个用于验证Token的有效性。 4. 在需要进行认证和授权的接口上添加`@PreAuthorize`注解,指定需要的权限。例如: ``` @RestController @RequestMapping("/api/public") public class PublicController { @GetMapping("/hello") @PreAuthorize("hasAnyRole('ADMIN', 'USER')") public String hello() { return "Hello, world!"; } } ``` 5. 在Spring Cloud的网关中配置Token验证过滤器。你可以使用Spring Cloud Gateway或者Zuul来实现网关功能,并在网关层进行Token验证。 以上是基本的步骤,你可以根据具体的需求进行调整和扩展。希望对你有所帮助!
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值