Spring Security登录返回登录前请求地址功能

最新推荐文章于 2023-04-02 10:54:21 发布
最新推荐文章于 2023-04-02 10:54:21 发布
阅读量1k 收藏
点赞数
文章标签: java 测试 python
原文链接:https://my.oschina.net/shishuifox/blog/293626
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

    以下部分描述内容来自Spring Security 3.1官方文档9.1章的个人翻译

    Spring Security过滤器链的倒数第三层ExceptionTranslationFilter完成以下三个工作:

    在用户请求一个受保护资源用户未认证或未授权时,一个对应的AuthenticationException或AccessDeniedException异常会被抛出。

    1) 如果用户未认证AuthenticationException异常会交给内置的AuthenticationEntryPoint实现处理,以返回合适的响应(如HTTP错误码)给用户。默认的LoginUrlAuthenticationEntryPoint会将请求重定向到预设的url上;

    2) 如果用户认证但未授权AccessDeniedException异常则有两种情况,如果是匿名用户,仍视为是用户未认证,交给AuthenticationEntryPoint处理,否则会交给内置的AccessDeniedHandler处理,默认情况下他是返回一个HTTP状态码为403的响应,但也可以配置相应的url进行重定向;

    3) 在调用AuthenticationEntryPoint处理之前,ExceptionTranslationFilter会将当前请求的相关数据封装为SavedRequest对象保存到RequestCache中,以供登录后获取,默认的实现为HttpSessionRequestCache即将数据保存到HttpSession中。

    上述功能在<security:http auto-config="true">时会自动部署一套通用的配置,相关对象会作为Spring上下文中的Bean。

    上述描述中本文最为重要的是第三点,实际上我们的页面处理类只需要获取到这个RequestCache对象,即可拿到在跳往登录程序之前的请求数据。以下示例虽然是基于Spring MVC,但Spring Security在Web工程中,是作为Filter存在,任何的MVC框架只要知道原理一样能实现相同的功能。

    如下的Spring Security配置:

<security:http auto-config="true" authentication-manager-ref="authenticationManager">
    <!-- 登录页面 -->
    <security:form-login login-page="/login.html"/>
    <!-- 其他配置 -->
    <!-- ... -->
</security:http>

    我们在登录页面login.html及登录过程login.do的处理器Bean中声明注入RequestCache,默认情况下Spring上下文里面只会有一个RequestCache实例。如果不是Spring MVC,使用其他的MVC框架需要自己想办法从Spring应用程序上下文获取到RequestCache实例。

private RequestCache requestCache = null;
 
@Required
@Resource
public void setRequestCache(RequestCache requestCache) {
    this.requestCache = requestCache;
}

    这样在login.do的处理过程中,我们可以用当前请求的request和response对象从RequestCache中获取保存的SavedRequest实例。如果不是Spring MVC,使用其他的MVC框架需要自己想办法获取到request和response对象。

SavedRequest savedRequest = requestCache.getRequest(request, response);
// 默认的重定向地址
String redirectUrl = "/index.html";
// 注意1 如果用户直接访问login.html,这时候ExceptionTranslationFilter不会有任何操作,SavedRequest可能为null
// 注意2 只有GET请求才会说进行重定向,如果原请求为POST等,没有重定向的价值,仍使用默认的重定向地址
if (savedRequest != null) {
    if("GET".equals(savedRequest.getMethod())) {
        redirectUrl = savedRequest.getRedirectUrl();
    }
    // 最后记得删除requestCache
    // 注意这里的removeRequest传入的参数仍然是当前的request和response对象
    requestCache.removeRequest(request, response);
}
// 重定向到目标地址,这个是Spring MVC的写法,其他的MVC框架请采用各自自己的做法
return "redirect:" + redirectUrl;

    当然知道这样,仍然是不够的,如果我们不想把信息保存在session里面怎么办,如果我们希望在用户未认证或用户未授权访问受保护资源的时候做更多的事情怎么办(做个日志记录下不为过吧)。这时候我们可以自己实现自己的AuthenticationEntryPoint,AccessDeniedHandler和RequestCache,自己在Spring上下文中,使用Spring Security的机制替换默认存在的ExceptionTranslationFilter。(注意这样的情况Spring上下文中可能有多个RequestCache实例,最好自定义bean的时候给予一个特殊的beanName,指定bean名注入需要的RequestCache)

<security:custom-filter ref="myExceptionTranslationFilter" position="EXCEPTION_TRANSLATION_FILTER"/>


转载于:https://my.oschina.net/shishuifox/blog/293626

weixin_33989780
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBoot+SpringSecurity处理Ajax登录请求问题(推荐)
08-28
SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...
SpringBoot + SpringSecurity 短信验证码登录功能实现
08-27
SpringBoot + SpringSecurity 短信验证码登录功能实现 本文主要介绍了 SpringBoot + SpringSecurity 短信验证码登录功能实现的详细过程,该功能可以使用户通过手机短信验证码登录系统,而不是传统的用户名密码登录...
项目中Spring Security 整合Spring Session实现记住我功能
WEIwei1996_06的博客
10-18 731
Spring Session提供了与Spring Security的“我记得”身份验证的集成的支持: 目的: &nbsp; 更改会话过期长度 确保会话cookie在Integer.MAX_VALUE处过期。将cookie过期设置为最大的可能值,因为只有在创建会话时才设置cookie。如果将其设置为与会话到期相同的值,那么当用户使用该值时,会话将得到更新,但是co...
通过请求头中键值对可以直接获取上次重定向到此的页面路径,一般常用于用户登录退出,转到上次重定向的页面路径;
hhhWHUWHF的博客
04-02 248
【代码】通过请求头中键值对可以直接获取上次重定向的页面路径,一般常用于用户登录退出,转到未登录页面;
Spring Security教程(10)---- 自定义登录成功后的处理程序及修改默认验证地址
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-18 3万+
form-login配置中的authentication-success-handler-ref可以让手动注入登录成功后的处理程序,需要实现AuthenticationSuccessHandler接口。 <sec:form-login login-page="/login.jsp" login-processing-url="/login.do" authentication-failure
springsecurity3.1登录
Java地摊
09-04 91
第一步,配置文件   &lt;?xml version="1.0" encoding="UTF-8"?&gt; &lt;beans:beans xmlns="http://www.springframework.org/schema/security" xmlns:beans="http://www.springframework.org/schema/beans" xm...
Spring Security登录成功后重定向到登陆页面 解决方案
超哥的博客
02-20 6594
问题:今天拿security做权限控制的时候,出现了特别灵异的一幕,security配置类写好了,正常登录的情况下,第一次登陆,登陆成功后总会莫名其妙重定向到项目的根路径,但是确实已经登陆成功了,访问主页可以进行访问了。 问题如图所示,打码部分为项目根路径。 配置类配置登陆成功后转向的是一个action,如图所示 具体解决过程十分坎坷,省略了 重点感谢一个大佬给我提了一句,我这个有可能不是重定向到首页,而是重定向到登录的页面了。 经检查后发现产生这个问题的原因是我项目启动默认访问路径就是 http:
SpringSecurity登录使用JSON格式数据的方法
10-17
Spring Security框架中,通常默认的登录方式是通过表单提交...遵循以上步骤,你就可以在你的Spring Boot应用中实现基于JSON的Spring Security登录功能了。这不仅提高了应用的灵活性,也更符合现代API接口的设计标准。
Spring Security自定义登录原理及实现详解
09-07
总的来说,Spring Security的自定义登录功能强大且灵活,能够帮助开发者构建安全、可扩展的认证系统。通过理解其原理和配置选项,我们可以更好地满足各种安全需求。在实际项目中,务必根据具体业务场景进行合理配置...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
自定义SpringSecurity授权跳转地址
398701344努力加油!
02-26 2896
自定义SpringSecurity授权跳转地址 在我们用SpringSecurity+Oauth2做权限验证和访问控制的时候,如果要访问请求处于未登录状态,会被框架进行拦截,并重定向到一个/login的请求(1),再重定向我们授权服务器的/oauth/authorize请求(这里是使用的授权码模式),接着再重定向到我们授权服务器的/login请求上,即我们授权服务器的登录页面。在工作中遇到了一个要修改(1)这个地方请求的问题。既然要修改(1)的/login请求,我们首先要弄清楚这里的/login是从哪里来
Spring Security-自定义登录请求路径
oPeiJie1的博客
02-14 2314
Spring Security-自定义登录请求路径
spring security+sso 认证通过后跳转原始路径
lgq2016的博客
02-28 4576
我们访问一个域名+路径(需要授权访问)时,如果没有登录返回一个登录页面,登录完成后我们希望继续访问输入的域名+路径,我的实现方案如下: 端:1.没有授权时访问(这里页面肯定会报错),2.弹出登录界面,这两个动作过程中必须确定端一定会调用某个接口,然后和后端协商,通过这个接口将浏览器地址栏内容(即原始路径)放到http header中传递到后端。 端代码不再展示,主要逻辑就是,获取地址地址然后放到header里面通过接口发送到后端。 后端:使用过滤器,优先级设置为-101,因为securi
java ajax清除缓存_Ajax登陆使用Spring Security缓存跳转到登陆的链接
weixin_35458714的博客
02-28 279
Spring Security缓存的应用之登陆后跳转到登录地址什么意思?用户访问网站,打开了一个链接:(origin url)起源链接请求发送给服务器,服务器判断用户请求了受保护的资源。由于用户没有登录,服务器重定向到登录页面:/login填写表单,点击登录浏览器将用户名密码以表单形式发送给服务器服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步)服务器对用户拥有的权限(角...
springsecurity oauth2.0 spring mvc集成spring security 3
健康平安的活着的专栏
07-31 3543
spring security spring security是一个封装比较完整安全的认证授权框架。是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,在spring boot项目中加入spring security更是十分简单,使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。 ...
spring security-源码流程分析(五)-oauth默认请求地址(/oauth/token)是如何生效的?
luoxiaomei999的博客
04-06 4574
spring security经常在项目中用到,但是平常只是简单的使用肯定是不够的,我们需要了解深层次的东西,才能在使用的过程中不畏惧,本次打算从demo入手,跟踪源码,剖析security内在 一、@FrameworkEndpoint注解的作用 1、在之的文章中我们看到AuthorizationServerEndpointsConfiguration配置中配置了AuthorizationEndpoint和TokenEndpoint等,他们都是继承自AbstractEndpoint 2、Author.
Spring Security认证成功后回跳(解决后端分离下OAuth2认证成功回跳)
热门推荐
gangsijay888的博客
07-23 3万+
Spring Security(后面简称SS)用了很长时间了,但之一直没注意到一个有趣的特性,直到最近弄后端分离,在OAuth2提供者(github)认证后,需要跳回端页面(端页面和服务端不在同个域下),然后突然一般情况下(同域),SS认证后会自动跳回认证用户想访问的资源。由此开始寻找这个magic。 OAuth2 的一个sso demo,有兴趣可以看一下 问题:SS是怎么在...
关于springSecurity
xiejx618的专栏
04-13 2302
保存请求与移除请求//save request org.springframework.security.web.access.ExceptionTranslationFilter#doFilter{ handleSpringSecurityException(request, response, chain, ase); } org.springframework.security.web.acc
Spring实战】----security4.1.3认证的过程以及原请求信息的缓存及恢复(RequestCache)
honghailiang的专栏
12-15 1万+
一、先看下认证过程 认证过程分为7步: 1.用户访问网站,打开了一个链接(origin url)。 2.请求发送给服务器,服务器判断用户请求了受保护的资源。 3.由于用户没有登录,服务器重定向到登录页面 4.填写表单,点击登录 5.浏览器将用户名密码以表单形式发送给服务器 6.服务器验证用户名密码。成功,进入到下一步。否则要求用户重新认证(第三步) 7.服务
spring security 实现登录认证功能后端分离
最新发布
06-08
实现 Spring Security 后端分离的登录认证功能需要以下步骤: 1. 端页面发送登录请求到后端,请求中包含用户名和密码。 2. 后端接收到登录请求后,使用 Spring Security 进行登录认证。 3. 如果认证成功,后端...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值