SpringSecurity工作问题记录

最新推荐文章于 2024-07-19 17:37:28 发布
最新推荐文章于 2024-07-19 17:37:28 发布
阅读量192 收藏
点赞数
分类专栏: 工作问题 Spring 微服务 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43377482/article/details/125416914
版权
工作问题 同时被 3 个专栏收录
18 篇文章 0 订阅
订阅专栏
Spring
14 篇文章 0 订阅
订阅专栏
微服务
2 篇文章 0 订阅
订阅专栏

请求未携带token,SpringSecurity是如何拦截到请求并返回403的?

首先有一点要明确,SpringSecurity通过一层层filter过滤请求的。在这些filter中有一个关键类org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter里面有一个doFilter方法,关键代码如下:
在这里插入图片描述
参考资料

注册在Eureka访问/actuator 404的问题

之前以为404的问题跟注册中心有关,实际没关心在yml中作出如下配置就可访问到

management:
  endpoints:
    web:
      exposure:
        include: ['*']

anyRequest().permitAll() 和 antMatchers(“/*”).permitAll() 区别

之前同事配置的WebSecurityConfigurerAdapter.configure(HttpSecurity http)对所有request方法都拦截不到,直接放行了。
查下了代码他对请求拦截的处理方式是这样的antMatchers("/*").permitAll()
实践发现这样的配置只能拦截到/api这种的,但是实际项目中的配置请求url都是/api/page/user/list这种的,导致根本拦截不到。正解应该是用anyRequest().permitAll()antMatchers("/**").permitAll()

请求已配置免认证但是携带token请求时提示invalid_token Cannot convert access token to JSON

场景:
A服务接口调用B服务的接口但是A、B服务不在一个注册中心,于是通过框架封装的OkHttpClient发起请求,B服务将这个接口url配置为permitAll,但是调用失败
原因:
A服务的接口调用时,携带了A服务的token,这个token也带到了B服务中去,由于A、B服务token不共用导致解析token时异常
源码分析:
org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter
在这里插入图片描述
解决方法:

  1. A服务的接口调用B服务接口时,再通过OkHttpClient调用哪一步,将token清除掉(重新new HttpHeaders()),该方式B服务必须配置请求接口的免认证
  2. 先获取B服务的token,带着B服务的token去调用B服务接口,该方式B服务不用配置请求接口的免认证

个人理解:
当请求的url已经免认证了为啥要走到OAuth2AuthenticationProcessingFilter这个过滤器中呢?不进到这个过滤器中就可以避免token验证有效性的问题了

52058426426
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity之表单验证
xkshihaoren的博客
11-23 253
1.默认表单验证 首先在config包中新建一个SpringSecurity的配置类 @EnableWebSecurity public webSecurityConfig extends WebSecurityConfigureAdapter{ } 在该配置类中有三个常重写的方法: @Override // 配置springSecurity用户和权限 protect...
SpringSecurityFoundation
m0_59883382的博客
05-25 728
1
Spring Security(二)拦截请求
逝去的往事的博客
06-20 2万+
拦截请求 在第一篇中,我们看到一个特别简单的Spring Security配置,在这个默认的配置中,会 要求所有请求都要经过认证。
解决使用SpringSecurity产生的跨域接口调用失败问题
ls490447406的博客
11-26 1682
最近项目使用SpringSecurity作为服务鉴权框架,但是由于前后端分离,在前后端分别部署在不同的服务器导致产生跨域问题,其实简单的跨域问题,通过设置参数就很好解决,但是在使用了Security时,设置了参数依然调用接口时候被拦截,报401错误,提示登录。后来发现,在调用正式接口之前,会首先发出一个试探请求请求方式为OPTIONS,但是这个试探请求里是无法将请求所需要的token等一些信息放...
拦截器的实现(解决拦截器不生效问题
qq_45969065的博客
11-23 2057
网上关于拦截器的代码基本都是通过new一个拦截器进行配置的,这时候就会出现无法注入其他bean的情况。很多人想当然地直接在拦截器加@Component注解使其成为一个bean对象。这是一种错误的做法。我们需要保证的是在WebMvc配置类中添加的拦截器是Spring 的一个bean对象,也就是说我们需要将拦截器注成一个bean,同时将这个bean添加的WebMvc配置类中。
springboot使用拦截器进行校验token(post和get获取token参数)
秋楓的博客
05-08 5363
前言 前面我做了一个简单的jwt校验token的demo案例,再后来的开发过程中我遇到一个问题:我们前台在调用后台接口时,用的最多的contentType是application/x-www-form-urlencoded、application/josn两种类型。当是application/x-www-form-urlencoded类型下,我们在拦截中可以直接使用request.getParam...
Spring Security 初识(四)--请求拦截
热门推荐
只有变秃 才能变强
12-29 2万+
Spring Security 初识(四)–请求拦截在我们前面的文章Spring Security 初识(一)中,我们看到了一个最简单的 Spring Security 配置,会要求所有的请求都要经过认证.但是,这并不是我们想要的,我们通常想自定义应用的安全性.因为有些路径我们想要谁都可以访问.Spring Security对此的实现也很简单.关键在于重载 WebSecurityConfigure
Spring security如何实现记录用户登录时间功能
08-24
Spring Security 记录用户登录时间功能实现 Spring Security 框架提供了强大的身份验证和授权功能,然而在实际应用中,我们还需要记录用户的登录时间,以便于日后进行登录记录的追踪和分析。在本文中,我们将详细...
SpringSecurity素材.rar
03-02
8. **错误处理与安全日志**:介绍如何定制SpringSecurity的错误页面,以及如何配置日志记录以监控安全相关的事件。 9. **OAuth2整合**:如果视频内容深入,可能会涉及到如何集成SpringSecurity与OAuth2服务提供商,...
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
6. **监控和日志**:为了保证系统的健壮性,应设置合适的监控和日志记录,以便在出现问题时能够快速定位。 在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring...
Spring Security 资料合集
01-24
Spring Security 是一个强大的安全框架,主要用于Java应用的安全管理,它为Web应用和企业级应用提供了全面的...通过学习这些文档,开发者可以更好地理解Spring Security工作原理,从而更有效地实现应用的安全控制。
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
请求错误笔记
weixin_45506581的博客
12-29 296
401错误: 出现这个错误之后,我们需要建一个SecurityConfig类,如果你有的话,直接在该类中加以下代码段 @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .anyRequest().permitAll().and().logout().permitAll();//配置不需要登录验证 } 如果没有改类,则...
SpringSecurity 验证 报403 问题
zhangaob的博客
03-24 1170
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。找到实现 UserDetails类的类,我这叫LoginUser。debug,每次认证的时候总是 这里结束。下面所有返回值是布尔值的方法,
SpringSecurity登录配置-角色权限-403定制
超级氯化钾的博客
05-26 466
文章目录加密案例sercurity自带的登录校验自定义登录界面配置登录失败页自定义表单参数名登录成功|失败处理器antMatchers权限控制和角色控制自定义403处理 加密案例 PasswordEncoder passwordEncoder = new BCryptPasswordEncoder(); String encode = passwordEncoder.encode("123456"); System.out.println(encode); //$2a$10$svp.cYEelXIMGz/t
springboot整合springsecurity进行token登录认证
lovely960823的博客
05-28 3192
之前写过一篇的,但是感觉有点垃圾,这次在我原来shiro项目的基础上重写了一遍。细节不说了,下面直接上代码 //登录实体类 @Data public class LoginUser implements Serializable{ private static final long serialVersionUID = 1L; private Integer id; private String username; private String password; private
Spring Security 实战干货: 401和403状态
码农小胖哥
07-27 5606
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
SpringSecurity授权(访问控制)
wyy的博客
10-30 5605
一、 访问控制url匹配 在前面讲解了认证中所有常用配置,主要是对httpSecurity.formLogin()进行操作。而在配置类中httphttpSecurity.authorizeRequests()主要是对url进行控制,也就是我们所说的授权(访问控制)。httpSecurity.authorizeRequests()也支持连缀写法,可以有很多url匹配规则和很多权限控制方法。这些内容进行各种组合就形成了Spring Security中的授权。 在所有匹配规则中取所有规则的交集。配置顺序影响了之
Java内存模型
最新发布
weixin_44267758的博客
07-19 338
此处的变量不是指java编程中的变量,它包括了实例字段,静态字段和构成数值对象的元素,但不包括局部变量和方法参数。JMM规定所有变量都存储在主内存中。每条线程有自己的工作内存,工作内存中保留了该线程使用到变量的主内存的副本。线程对变量的所有操作都必须在工作内存中进行,不能直接读写主内存的变量,不同的线程间也无法直接访问对方工作内存的变量,线程之间的变量值传递需要通过主内存来完成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值