Security--02(处理不同请求的类型)

最新推荐文章于 2023-03-03 17:14:11 发布
最新推荐文章于 2023-03-03 17:14:11 发布
阅读量290 收藏 1
点赞数
分类专栏: 认证以及授权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37650458/article/details/106603007
版权

1.功能图

之前我们的请求是直接会跳到一个请求登录页面的Controller,然后跳到登录页面,现在我们的需求是判断一下请求的类型,然后跳转到自己的Controller.,然后处理返回不同的信息。

现将之前的一些在demo-lilly里面的配置沉淀到borwser包里面,但是在打包的时候报找不到Filter,z所以在依赖中加上

要实现这样的一个功能需要跳转前判断这个请求的类型,这里需要HttpSessionRequestCache这个类拿到当前缓存的请求,

接到Html请求以后是否需要身份认证的这个判断是Security做的,如果需要身份认证,他会做一个跳转,根据你loginPage的配置来决定你跳到哪里,但是在执行这个跳转之前,Spring Security用HttpSessionRequestCache把当前的请求缓存到这个类里面,所以我们可以根据这个类来拿当前请求的类型。

判断之后利用这个类RedirectStrategy做跳转,至于跳转的请求需要从配置中拿。

下面介绍如何封装系统配置

2.系统配置封装

 系统配置类我们写到core包里面,

 springboot 访问template资源必须经过控制器,如果想不经过控制器直接跳转,需要将资源放到静态文件夹下。但是thymeleaf放到静态资源文件下有一个问题,就是页面会出现中文乱码,由于是静态资源所以无法通过视图解析器的配置去改变这一问题,就算解决了,thymeleaf的标签在静态资源下回全部失效,所以这种办法不可取,我们需要采取第二种解决方式

 

 首选先demo项目的自定义登录配置页面

  

封装系统配置的第一个类

封装系统配置的第二个类:

资源文件在:

使系统配置起作用:

注入即可使用:

需要注意的是需要加上Controller转换到视图,这个配置不能在starter包里面去做转换,因为用户可能需要在自定义页面上显示一些问题

3.登录成功处理

   默认情况下security登录成功后会把请求转到引发操作的请求上,那么什么时候需要自定义登录成功的处理,比如说前端登录后仅仅只想拿到用户的信息去做处理,这个时候就需要自定义登录成功的处理流程。

  自定义登录成功处理需要实现一个接口

  

  

 然后加上这样一个配置:

 

  

4.登录失败处理

  实现AuthenticationFailureHandler接口

 

   

 

但是我们的目标是要做一个可重用的认证模块,也就是说要包含返回json,和跳转登录的这两种情况。

5.认证完成返回JSON或跳转

  实现的思路:首先security的默认的认证成功的处理类是SavedRequestAwareAuthenticationSuccessHandler,他一样是实现了AuthenticationSuccessHandler接口,我们只需要继承这个默认的,再判断一下类型,实现自己的就行了。

   两种类型:

  

  默认JSON处理

package org.lilly.browser.authentication;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.lilly.core.properties.LoginType;
import org.lilly.core.properties.SecurityProperties;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * User: Mr.Wang
 * Date: 2020/6/8
 */
@Component
public class LillyAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
    private Logger logger = LoggerFactory.getLogger(getClass());

    @Autowired
    private ObjectMapper objectMapper;
    @Autowired
    private SecurityProperties securityProperties;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest,
                                        HttpServletResponse httpServletResponse,
                                        Authentication authentication) throws IOException,
            ServletException {
        logger.info("登录成功");
        if (LoginType.JSON.equals(securityProperties.getBrowser().getLoginType())) {
            httpServletResponse.setContentType("application/json;charset=UTF-8");
            httpServletResponse.getWriter().write(objectMapper.writeValueAsString(authentication));
        } else {
            super.onAuthenticationSuccess(httpServletRequest, httpServletResponse, authentication);
        }
    }
}

 demo项目配置:

 

测试:

首先我配置登录的类型为JSON类型或者不配置,访问hello.html,会返回JSON

当我们配置登录的类型后,访问http://localhost:8080/preLogin.html

当然需要一个控制器来处理这个登录的请求,登录后会自动跳转到登录前的页面

 

 

常见问题:

重定向次数太多,是因为自定义请求的登录页面没有去security放权

配置类无法注入使用,是因为demo项目的包没有扫描到

 

 

 

 

 

 

时空恋旅人
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
spring-Security-oauth2.zip
05-26
Spring Security OAuth2 是一个强大的框架,用于在Spring应用程序中实现安全性和身份验证。OAuth2 是一个授权框架,允许第三方应用获取有限的访问权限到受保护的资源,而无需分享用户名和密码。本压缩包文件“spring...
Spring Security是如何在各个请求共用认证信息的?
wuqihawubito的博客
06-20 452
Spring Security直接通过 Session来共享认证信息 我们现在来从源码分析下: 我们知道,认证的过滤器Filter 是 UsernamePasswordAuthenticationFilter ,然后找到它的父类 :AbstractAuthenticationProcessingFilter,有一个 protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse resp
Springboot Security不同请求路径认证不同表用户
sinat_38534054的博客
08-01 1063
security框架多表认证
3.SpringSecurity请求流转的本质
飘然渡沧海的博客
03-03 412
分析SpringSecurity的核心原理
security权限管理详解
程序三两行
07-24 2844
Collection
Spring Security-限制请求
weixin_43404791的博客
04-25 1157
前言 上面只是验证了用户,并且还可以基于用户赋予了不同的角色,但是对于不同的角色而言其访问的权限也是不一样的.例如,一个网站可能存在普通用户和管理员用户,管理员用户拥有的权限会比破童用户大的多,所以用户给予登录权限之外,还需要对不同的角色赋予不同的权限.在上述配置用户中,继承抽象类WebSecurityConfigurerAdapter,并覆盖configure(AuthenticationMan...
ssm-spring-security-Aop.zip
09-05
在Spring框架中,可以使用注解@Aspect来定义切面,@Before、@After、@Around等注解来定义不同类型的的通知。 接下来,数据库日志记录部分可能涉及到使用MyBatis,这是一个轻量级的持久层框架,它允许开发者通过XML...
spring-security-oauth2详细配置demo
09-30
总的来说,Spring Security OAuth2的配置涉及到许多细节,包括但不限于授权码模式、密码模式、刷新令牌、客户端凭证等不同授权类型的实现。理解并熟练掌握这些知识点,对于构建安全、可扩展的API服务至关重要。通过...
spring-security-web源码所需jar包
12-03
它们分别处理不同的安全任务,如保持会话中的安全上下文,处理登出请求,以及处理用户的登录认证等。 为了能够运行和理解Spring Security Web的源码,我们需要以下jar包: 1. **spring-context-3.1.2.RELEASE.jar*...
spring-security静态资源
09-25
在讨论“spring-security静态资源”这个主题时,我们将深入探讨Spring Security如何处理Web应用中的静态资源,如JavaScript、CSS、图片等。 1. **静态资源的安全访问** Spring Security 提供了一种机制来保护静态...
Spring Security请求全过程解析
艾华生的博客
08-10 1356
Spring Security是一款基于Spring的安全框架,主要包含认证和授权两大安全模块,和另外一款流行的安全框架Apache Shiro相比,它拥有更为强大的功能。Spring Security也可以轻松的自定义扩展以满足各种需求,并且对常见的Web安全攻击提供了防护支持。如果你的Web框架选择的是Spring,那么在安全方面Spring Security会是一个不错的选择。 这里我们使用Spring Boot来集成Spring Security,Spring Boot版本为2.5.3,Sprin
Spring Security 处理不同类型请求
superbeyone
12-01 697
文章目录Spring Security 处理不同类型请求1. 流程分析2. 系统配置封装 Spring Security 处理不同类型请求 1. 流程分析 2. 系统配置封装 配置自定义登录页地址 tdt: security: browser: loginPage: /demo-signIn.html SecurityCoreConfig import c...
Spring——Security安全框架之权限限定
专注写bug
02-22 2287
文章目录前言基于角色或权限进行访问控制hasAuthority 方法(单个权限)测试hasAnyAuthority 方法(多个权限)测试hasRole 方法(一个权限)测试异常测试hasAnyRole 方法(多个)测试loadUserByUsername中传递多个权限代码下载 前言 上一篇博客Security安全框架针对请求追加限制中,针对 部分请求 增加了 登录验证 。 只要是登录成功,就能访问被限制的请求。 但是,这种模式肯定是不够用的。 比如:淘宝商品页面。商家可以修改商品价格,但顾客只能看和购
Spring Boot中Spring Security POST请求403
myli92的博客
05-12 3581
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
springsecurity配置csrf,ajax发送post请求访问
qq_51961167的博客
04-24 1720
springsecurity配置csrf,ajax发送post请求访问
Spring Security——根据请求Header[Accept]不同返回不同类型资源解决方案
无限迭代中......
11-23 1323
解决方案 /** * @Author ShenTuZhiGang * @Version 1.0.0 * @Date 2020-03-21 13:10 */ @Component public class CustomSavedRequestAwareAuthenticationSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler { @Autowired ILogService iLogSe
SpringBoot+SpringSecurity处理Ajax登录请求
weixin_33968104的博客
12-20 2253
最近在项目中遇到了这样一个问题:前后端分离,前端用Vue来做,所有的数据请求都使用vue-resource,没有使用表单,因此数据交互都是使用JSON,后台使用Spring Boot,权限验证使用了Spring Security,因为之前用Spring Security都是处理页面的,这次单纯处理Ajax请求,因此记录下遇到的一些问题。这...
Spring Security(二)拦截请求
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证。
SpringSecurity学习笔记之四:拦截请求
热门推荐
zhoucheng05_13的博客
03-05 5万+
在任何应用中,并不是所有请求都需要同等程度地保护起来。有些请求需要认证,有些则不需要。 对每个请求进行细粒度安全性控制的关键在于重载configure(HttpSecurity)方法。如下代码片段展现了重载的configure(HttpSecurity)方法,它为不同的URL路径有选择地应用安全性:@Override protected void configure(HttpSecurity ht
浏览器设置策略Content-Security-Policy
最新发布
06-20
Content-Security-Policy (CSP) 是一种HTTP头部字段,用于帮助Web应用增强安全性,控制网页内容如何加载和执行。CSP允许开发者定义一系列规则,限制浏览器加载资源的来源、类型以及执行的脚本和样式等行为。这有助于防止跨站脚本攻击(XSS)、恶意代码注入、数据泄露等问题。 设置CSP主要包括以下几个关键点: 1. **基本策略**: 使用`content-security-policy`头部字段声明,例如: ``` Content-Security-Policy: default-src 'self'; ``` 这表示只允许从当前源加载内容。 2. **源策略**: `default-src`可以指定一组或单独的源,如: ``` default-src 'self' https: data:; ``` 这里指定了除了'self'之外还允许https和data:协议的资源加载。 3. **资源类型**: 可以使用`script-src`, `style-src`, `img-src`, `frame-src`等指令分别控制不同类型的资源加载来源。 4. **允许特定资源**: `connect-src`控制连接请求(如WebSocket),`font-src`控制字体资源,`media-src`控制媒体资源等。 5. **执行策略**: `script-src-elem`和`script-nonce`用于处理内联脚本,`child-src`管理嵌套框架。 6. **报告策略**: `report-uri`指定当违反策略时发送报告的URL,以便开发者收集安全事件信息。 7. **沙箱模式**: 使用`sandbox`属性或`sandbox`-related directives如`allow-scripts`、`allow-top-navigation`等进一步限制页面行为。 为了确保CSP的有效性,需要在服务器端配置并始终发送这个头部信息给客户端。同时,开发人员也需要遵循CSP策略来编写代码,避免潜在的安全风险。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

时空恋旅人

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值