spring-security-debug日记

最新推荐文章于 2025-02-10 08:30:00 发布
最新推荐文章于 2025-02-10 08:30:00 发布
阅读量604 收藏
点赞数
分类专栏: 学习笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43876243/article/details/119390314
版权
博客主要解决了Spring Security相关的问题:前端页面因'X-Frame-Options'设置拒绝显示;空指针异常出现在SecurityUser.getAuthorities方法;以及前端传参为null导致的问题。通过添加配置、检查UserServiceDetailsImpl类中的权限和更改获取表单数据方式成功修复问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、前端页面报错:index.html:1 Refused to display ‘http://localhost:8080/admin-list.html’ in a frame because it set ‘X-Frame-Options’ to ‘deny’.

后端可以查询
在这里插入图片描述

网上查询说是跨域问题;
添加此配置

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends DefaultWebSecurityConfigurer {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        super.configure(http);
        http.headers().frameOptions().sameOrigin();  //这里

    }
}

解决问题!
大功告成
成功访问!
在这里插入图片描述

2、空指针异常

java.lang.NullPointerException: null
at com.book.pojo.vo.SecurityUser.getAuthorities(SecurityUser.java:33) ~[classes/:na]
at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.createSuccessAuthentication(AbstractUserDetailsAuthenticationProvider.java:197) ~[spring-security-core-5.5.1.jar:5.5.1]
at org.springframework.security.authentication.dao.DaoAuthenticationProvider.createSuccessAuthentication(DaoAuthenticationProvider.java:122) ~[spring-security-core-5.5.1.jar:5.5.1]
at org.springframework.security.authentication.dao.AbstractUserDetailsAuthenticationProvider.authenticate(AbstractUserDetailsAuthenticationProvider.java:168) ~[spring-security-core-5.5.1.jar:5.5.1]
at org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:182) ~[spring-security-core-5.5.1.jar:5.5.1]
at com.book.filter.LoginFilter.attemptAuthentication(LoginFilter.java:51) ~[classes/:na]

debug模式下查找,原来是在UserServiceDetailsImpl类中,重写的方法中,要返回的对象的权限没有添加进去。

package com.book.service.impl;

import com.book.mapper.ManagerMapper;
import com.book.pojo.po.Manager;
import com.book.pojo.po.Role;
import com.book.pojo.vo.SecurityUser;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.ArrayList;
import java.util.List;

@Service("userDetailService")
public class UserDetailServiceImpl implements UserDetailsService {

    @Autowired
    MANAGERervice manageRervice;

    @Autowired(required = false)
    ManagerMapper managerMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Manager manager=manageRervice.getByName(username);
        if(manager==null)
            return null;
        SecurityUser user=new SecurityUser();
        user.setCurrentUserInfo(manager);
        List<Role> roles = managerMapper.getRoleByName(username);
        List<String> authorities=new ArrayList<>();
        roles.forEach((role)->{
            authorities.add(role.getRole());
        });
        //此处没有将权限添加进去===========
        user.setPermissionValueList(authorities);
        //=================================
        return user;
    }
}

3、参数为空

前段传递到后端的数值为null
报错的代码:

package com.grand.security.filter;

import com.fasterxml.jackson.databind.ObjectMapper;
import com.grand.security.entity.SecurityUser;
import com.grand.security.entity.User;
import com.grand.security.security.TokenManager;
import com.grand.utils.utils.R;
import com.grand.utils.utils.ResponseUtil;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.ArrayList;

public class TokenLoginFilter extends UsernamePasswordAuthenticationFilter {
    private TokenManager tokenManager;
    private RedisTemplate redisTemplate;
    private AuthenticationManager authenticationManager;
    public TokenLoginFilter(AuthenticationManager authenticationManager, TokenManager tokenManager, RedisTemplate redisTemplate){
        this.authenticationManager=authenticationManager;
        this.redisTemplate=redisTemplate;
        this.tokenManager = tokenManager;
        this.setPostOnly(false);

        //配置登录url
        this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/admin/acl/login","POST"));

    }

    //获取表单提交的用户名和密码
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        //获取表单提交数据
        try{
            User user = new ObjectMapper().readValue(request.getInputStream(),User.class);
            return authenticationManager.authenticate(new UsernamePasswordAuthenticationToken(user.getUsername(),user.getPassword(),new ArrayList<>()));

        }catch (IOException e){
            e.printStackTrace();
            throw  new RuntimeException();
        }

    }

    //2、认证成功调用的方法

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException {
    //认证成功 得到认证之后用户信息
        SecurityUser user  =(SecurityUser) authResult.getPrincipal();


        //根据用户名生成token
        String token = tokenManager.createToken(user.getCurrentUserInfo().getUsername());
        //将用户名称和权限列表放到redis中
        redisTemplate.opsForValue().set(user.getCurrentUserInfo().getUsername(),user.getPermissionValueList());
        //返回token
        ResponseUtil.out(response, R.ok().data("token",token));
    }

    //3、认证呢个失败调用的方法

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        ResponseUtil.out(response,R.error());
    }
}

原来是这个方法有问题,导致了异常。 User user = new ObjectMapper().readValue(request.getInputStream(),User.class);

因此使用另一方法获取表单数据:
修改替换为:
Manager user=new Manager();
user.setUsername(request.getParameter(“username”));
user.setPassword(request.getParameter(“password”));
之后再无报错了。

Spring security认证 (DEBUG源码分析)
tpaer的博客
02-28 1398
Spring security的认证进行DEBUG源码分析
Spring Security 认证流程分析,带你Debugger
Java技术攻略的博客
03-21 375
上面说到请求会来到,但是它继承了,所以请求会先进入抽象类中,它是一个Filter,那我们将断点打在 doFilter 方法中。介绍一下 chain 中的属性,originalChain 表示原生的过滤器链,也就是 Web Filter;additionalFilters 表示 Spring Security 中的过滤器链;firewalledRequest 表示当前请求;size 表示过滤器链中过滤器的个数;currentPosition 则是过滤器链遍历时候的下标。
springboot项目中:查看spring-security相关模块的日志
coder184的博客
02-22 523
另外当你使用spring-security时, 遇到 401 或 403 错误,这时则需要启用日志记录,帮助了解详细的日志信息。Spring SecurityDEBUG 和 TRACE 级别提供所有安全相关事件的全面日志记录。所以正常情况下,我们看不到spring-security相关模块的日志。这样设计是出于安全考虑。重新启动项目后,应用程序会记录下所有安全事件。
SemiDrive E3 Secure Debug 函数方式验证
最新发布
wpgddt的博客
02-10 1083
本文方式仅是方案过程辅助验证,当将 eFuse 烧写内容、解锁使用的脚本验证通过后,将所需要的信息形成文件,并烧写进 eFuse,开启 JTAG 口保护。
根据debug信息研究springsecurity的认证逻辑
chitiguan0536的博客
04-27 1204
springsecurity写的不但复杂,并且权限的逻辑和一般国人的习惯不太一样,跟网上找了一堆一堆的文档也没看出个所以然来,这里通过研究debug日志来研究一下springsecurity各组件的调用情况。 环境情况:采用springboot 2.0 + springsecurity 5....
如何在 Spring Security 2 中开启日志输出
蓝剑专栏
05-22 5101
用了一阵子SS2,运行过程中一直没有日志输出,从网上也找不到相应的内容,回过头来仔细研究提供的例子,发现他就能输出日志,仔细研究后发现,主要区别就在缺少commons-logging-1.1.1.jar包可能spring security 2并不使用log4j进行log输出。但是配置文件却采用log4j.properties进行配置,这很容易误导使用者以为用的log4j进行日志
Spring Security:介绍 & 初体验 & 源码与日志分析
kaven
12-25 2758
Spring Security 以下介绍来自官方文档: Spring Security Reference Spring Security是一个提供身份验证、授权和针对常见攻击保护的框架,对命令式(Servlet)、反应式(Webflux)应用程序都提供了一流的支持,它是保护基于Spring的应用程序的事实标准。 Spring Security为身份验证提供了全面的支持。身份验证是验证尝试访问特定资源的用户的身份的方式。验证用户身份的常用方法是要求用户输入用户名和密码。一旦执行身份验证,就知道其身份并可
Spring Security 使用 JSON 格式登陆
qq_18208265的博客
08-26 2743
Spring Security 使用 JSON 格式登陆 博客: www.lxiaocode.com ,获取更好的阅读体验。 在 Spring Security 中默认的登陆是通过表单的形式进行的。但是在前后端分离的项目中很少会使用表单的形式登陆。大多数情况是由前端调用登陆接口,登陆后则会返回 JSON 格式的响应告诉前端是否成功,根据返回进行跳转页面或其他操作就可以由前端来进行判断了。 那接下来就看一看在 Spring Secuirty 中如何使用 JSON 格式登陆吧! 本文配套的示例源码: htt
Spring Cloud Gateway之踩坑日记
BUG指挥课堂
05-06 3973
一、背景 楼主所在的团队全面拥抱了Spring Cloud体系,但由于历史原因,以及使用了腾讯云TSF的老版本,加上开发自维护的基础工具包一掺和,所有项目使用的Spring Cloud都停留在 2.1.2.RELEASE 版本,所以Spring Cloud Gateway(后面简称SCG)使用的是 2.1.2.RELEASE 版本。我们知道 SCG 是基于 Spring WebFlux 而构建的专属网关系统,而 Spring WebFlux 则是和 Spring MVC 一样,基于 Spring Web 而
usage.txt-1
huhuoyun的专栏
02-15 1514
系统迁移,虚拟机系统向host机迁移的实现如下: 虚拟机迁移到实体机工具准备: usb 3.0硬盘盒 x1 2T 128 cache x1 usb 3.0 接口 x1 虚拟机迁移到虚拟磁盘的工具准备: 2T vmdk分割 x1 第一部分 制作引导分区 1.grub-install /dev/sdx #将boot安装到/dev/.
kk运维日记,ali canal adapter安装实录
IT匠人的专栏
06-23 473
介绍 canal 1.1.1版本之后, 增加客户端数据落地的适配及启动功能, 目前支持功能: 客户端启动器 同步管理REST接口 日志适配器, 作为DEMO 关系型数据库的数据同步(表对表同步), ETL功能 HBase的数据同步(表对表同步), ETL功能 (后续支持) ElasticSearch多表数据同步,ETL功能 软件 canal.adapter-1.1.5.tar.gz canal adapter安装 解压 mkdir canal_adapter tar xzvf canal.
Spring Boot开启debug模式
09-30
使用IDEA开发环境时,采用Spring Boot框架开启debug模式的流程
注销登陆 清除缓存session CAS shiro redis
bw1023627606的博客
11-11 2875
内嵌系统注销,session统一注销,redis管理,单机与集群     在项目中遇到了这么一个问题,在这里记录当时解决的方式     出现的问题:系统内嵌系统,当时外系统注销用户后发现内嵌iframe的另一个系统没有退出登录,缓存仍然在,依然可以使用用户身份访问,外系统登陆另一个用户账号时,内嵌系统任然是上一次或第一次登陆的用户信息,导致用户信息不匹配和其它操作的漏洞。     调试很多次,发现...
spring security debug 小结
任香980101
05-21 819
有时需要在默认的filter之前定义自己的filter来改变原来的实现  但假如知道原来的filter的bean的默认名字之后 往往可以直接配置原来的filter &lt;beans:bean id="logoutFilter" class="org.springframework.security.ui.logout.LogoutFilter"&gt;     &lt;custom-fi...
SpringSecurity--认证的配置以及debug流程跟踪
sout
01-28 3424
第四章 认证 使用数据库保存/查询用户数据,完成认证功能 4.1 方式一:重写jdbcAuthentication规则(不推荐) 基于数据库的RBAC查询出我们需要的用户以及这些用户的权限(权限标识、角色) 创建和SpringSecurity要求一模一样的表,然后用默认jdbcAuthentication 更新jdbcAuthentication里面所有我们需要实际运行的sql aut...
SpringSecurity认证授权和整合项目
阿杰的博客
09-22 1647
Spring SecuritySpring 家族中的一个安全管理框架,应用程序的两个主要区域是“认证”和“授权”(或者访问控制)
lombok @slf4j 配置日志级别 —— springsecurity打开日志的方式
u012329294的专栏
02-28 4503
lombok 中调用@slf4j 配置日志级别 1、添加依赖 pom.xml <dependency> <groupId>org.projectlombok</groupId> <artifactId>lombok</artifactId> <versi...
Spring-Security学习日志
qq_48053850的博客
08-17 120
配置类配置指定路径加入权限控制 1.再配置类的方法中加入下图api 2.此处的取值就决定了该用户的访问权限 3.测试一下zhangsan用户 4.测试lisi用户(403为 无权限) 这样就完成了权限的分配,值得一提的是还有两个api: hasRole() 和 hasAnyRole() 这两个api与上图的 hasAuthority() 和 hasAnyAuthority() 基本一致, 区别就在于 hasRole()与hasAnyRole() 源码会自动在前面拼接一个 ROLE_ 而 ha
Spring Security:安全上下文SecurityContext介绍与Debug分析
kaven
01-23 5093
SecurityContext 定义与当前执行线程关联的最小安全信息的接口,安全上下文存储在SecurityContextHolder中,SecurityContext从SecurityContextHolder获取,并包含当前经过身份验证的用户的Authentication。 SecurityContext接口源码: public interface SecurityContext extends Serializable { /** * 获取当前经过身份验证的主体,或身份验证请求令牌 */
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值