本地调试跳过Spring Security权限校验

最新推荐文章于 2024-07-21 10:42:02 发布
最新推荐文章于 2024-07-21 10:42:02 发布
阅读量533 收藏 1
点赞数 3
分类专栏: Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43834477/article/details/139092464
版权

项目中使用安全框架,例如使用Spring Security进行安全校验。

但是在日常开发中,本地接口调试还要拿取token才能进行接口访问,并且token还会过期,总不能每次都去登录拿取token才能调试吧,那也太麻烦了,所以最好是找方法跳过安全校验这个步骤。

下面就是如何暂时规避掉安全校验,方便我们的本地测试。

方法:

启动类SpringBootApplication中排除掉SecurityAutoConfiguration以及ManagementWebSecurityAutoConfiguration类

@SpringBootApplication(exclude = {
        SecurityAutoConfiguration.class, ManagementWebSecurityAutoConfiguration.class
})
@EnableAsync
@EnableCaching
public class SpringBootApplication {

    public static void main(String[] args) {
        SpringApplication.run(SpringBootApplication.class, args);
    }

}

排除掉之后,再次启动就可以跳过Security的安全校验了。

只吹45°风
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
CVE-2022-22978 Spring-security 认证绕过漏洞分析和漏洞挖掘思考
Q54665642ljf的博客
09-08 6376
在此之前,已经对CVE-2022-32532 Apache Shiro RegExPatternMatcher 认证绕过漏洞进行了分析,它和CVE-2022-22978漏洞产生原理上,本质是一样的。在分析这两个漏洞后,结合今年kcon议题《自动化API漏洞Fuzz实战》,产生了对漏洞挖掘关注点的一些思考。
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3510
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
spring security登录认证授权
weixin_48164819的博客
04-19 1254
spring security登录认证授权
SpringBoot跳过权限验证配置
风起尘落的博客
07-01 5684
security.basic.enabled = false interceptor.exclude.path = /**
新版SpringSecurity5.x使用与配置
最新发布
Alphamilk的博客
07-21 1675
了解SpringSecurity,并进行简单使用与配置
使用Spring Security实现权限管理
一条宝鱼的专栏
03-16 1059
使用Spring Security实现权限管理   1、技术目标     了解并创建Security框架所需数据表为项目添加Spring Security框架掌握Security框架配置应用Security框架为项目的CRUD操作绑定权限     注意:本文所用项目为"影片管理",参看 http://hotstrong.iteye.com/blog/1156785   2
spring security单点登录跳过密码验证
weixin_43082983的博客
10-27 8821
spring security单点登录跳过密码验证
使用spring boot gateWay跳过某些服务鉴权
scdn_wyy的博客
05-16 317
实现:在gateway中添加过滤器,实现GlobalFilter接口重写filter方法,并配置一个万能token(服务鉴权获取token,此时没有token,我们可以手动生成一个万能token保存起来,例如:在redis中设置一个不会过期的万能token),然后在跳转其他过滤器。目标:项目中使用spring boot gateway时会对服务请求进行鉴权,虽然可以在gateway服务的白名单中配置从而跳过鉴权,当可能存在某些接口不能向外暴露的情况,此时通过代码进行跳过鉴权的功能。
CVE-2022-22978 Spring-security 身份验证绕过
xuxuxuxxxxx的博客
05-31 395
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档。
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2036
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1504
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0是OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Shiro配置跳过权限验证
s724542558的博客
06-16 9876
通过重写Shiro PermissionAnnotationHandler 和Bean替换 完成 晚点完善
swagger免token鉴权
weixin_43693592的博客
10-09 5564
使用swagger很简单,但是在引入项目里面是由于,项目使用了Spring Security OAuth实现鉴权体系,所以浏览器访问swagger的时候一直报401,说没权限。网上的很多方案主要是两种方法: 1、鉴权时过滤指定请求,但是我没弄成功,可能是操作问题。 2、swagger请求时带token,但是我弄了好像也不行。 于是换一种思路,直接授权,自定义注解。 1、自定义注解 @Target(...
SpringSecurity+JWT单点登录,跳过密码校验
m0_44976351的博客
05-15 1776
https://blog.csdn.net/z69183787/article/details/113717614
关闭Security权限验证解决开发中Springboot登录需要用户名密码问题
df1067的博客
12-03 6472
在带有SpringSecurity权限验证功能的Springboot项目,启动后打开swagger页面需要登录账号与密码 在开发阶段可以关闭权限验证,临时禁用SpringSecurity,可以通过下面两种方法: 1.在启动类上配置排除SecurityAutoConfiguration,关闭权限验证: @SpringBootApplication(exclude = {SecurityAutoConfiguration.class}) 2.在配置文件中配置: spring: autoco
CVE-2022-22978:RegexRequestMatcher 中的 Spring Security 授权绕过
weixin_61489125的博客
04-23 1006
特此声明:本文仅供安全研究与学习之用,禁止一切危害网络安全行为及其他途径,由使用者承担全部法律及连带责任,作者本人和团队不承担任何法律及连带责任。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。在 Spring Security 5.5.6 和 5.6.3 以及不受支持的旧版本中,RegexRequestMatcher 很容易被错误配置为在某些 servlet 容器上被绕过。
Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截
Cgh_Baby的博客
08-26 7408
背景 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session中是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spri...
springsecurity oauth2.0 通过注解跳过认证_spring security源码分析心得
weixin_28985215的博客
01-25 3555
背景看了半天的文档及源码,终于理出了spring-security的一些总体思路,spring security主要分认证(authentication)和授权(authority)。进入主题。Spring Security 的前身是 Acegi Security ,是 Spring 项目组中用来提供安全认证服务的框架。Spring Security 为基于J2EE企业应用软件提供了全面...
WebService如何绕过WSS:Security验证
weixin_43872819的博客
08-13 511
Springboot与Webservice Server交互绕过WSS:Security
springsecurity 权限校验逻辑
05-12
Spring Security 是一个基于 Spring 的安全框架,提供了一套完整的安全性解决方案,其中包括身份验证、授权、攻击防护等功能。在 Spring Security 中,权限校验逻辑是通过拦截器和过滤器来实现的,其具体的实现流程如下: 1. 用户登录时,Spring Security 会拦截登录请求,并调用配置的身份验证逻辑对用户进行身份验证。 2. 验证成功后,Spring Security 会将用户信息保存在一个称为 SecurityContext 的上下文对象中,并将其存储在 HttpSession 中,以便后续的访问可以共享该信息。 3. 当用户访问需要授权的资源时,Spring Security 会拦截请求,并调用配置的授权逻辑对用户进行授权。 4. 授权成功后,用户可以访问所请求的资源。 在 Spring Security 中,授权逻辑是通过访问决策器(Access Decision Manager)来实现的。访问决策器是一个负责判断用户是否有权限访问某个资源的对象,它基于一组访问控制规则(Access Control Rules)来进行决策,这些规则可以通过配置文件或代码来定义。 总的来说,Spring Security权限校验逻辑是基于拦截器、过滤器和访问决策器实现的,可以通过配置文件或代码来定义和定制。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

只吹45°风

感谢您的每一份支持!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值