SpringSecurity配置了登录链接无权限

最新推荐文章于 2024-02-18 16:39:19 发布
最新推荐文章于 2024-02-18 16:39:19 发布
阅读量1.2k 收藏
点赞数 2
分类专栏: java 文章标签: 前端 java mvc
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ybb_ymm/article/details/128711641
版权

问题背景

我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。

异常分析

由于SpringSecurity的异常处理和mvc的异常处理是不一样的,认证类异常和权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。

思路分析

  1. 我已经将本次请求的url添加到忽略名单里面了,起始这些过滤器没有被执行,这就是问题原因所在,我们忽略的url没有生效。
  2. 先定位过滤器忽略指定URL得逻辑代码,是否存在问题
  3. 制定了正确的忽略URL,内置的过滤器不走,但是我们自己定义的,实现了OncePerRequestFilter的过滤器还是会走的。

配置方法

通过先这段代码便完成了我们登录路径的配置

// 设置登录路径 this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher("/yuxuntoo/login","POST"));

配置过滤不需要拦截权限

通过下面这段代码我们就可以配置我们不需要校验权限的请求地址。放开这些资源以及接口供前端调动

// 不进行认证的路径,可以直接访问
@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/api/**","/swagger-ui.html"
    ,"/webjars/springfox-swagger-ui/**"
    ,"/swagger-resources/**"
    ,"/v2/api-docs/**"
    ,"/manage/permission/range",
    "/yuxuntoo/login",
            "/logout",
            "/css/xx",
            "/js/xx",
            "/index.html",
            "favicon.ico",
            "/doc.html",
            "/webjars/**",
            "/swagger-resources/**",
            "/v2/api-docs/**",
            "/captcha",
            "/user/register",
            "/ws/**");
}

定位问题

这里我们可以考虑一下,请求地址已经配置了,过滤地址也添加了,为什么会没有放开权限呢?我们访问的时候,依然会提示我们无权限访问!

只要将上一步中配置过滤的资源不需要权限的请求配置中的登录链接去掉即可实现正常访问了!

好了,今天关于SpringSecurity配置登录请求地址后,访问无权限的问题就先讲解到这里,欢迎大家留言交流!

也欢迎大家关注我的工种昊《coder练习生》

ybb_ymm
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6 的权限授权验证失败
qq_46506007的博客
04-06 788
Spring Security 6 的权限授权验证 您想创建一个已认证的token,您需要提供credentials和authorities信息,或者使用另一个构造方法,传入一个Authentication类型的参数。我第一次完成了认证 ,然后在授权验证那里出来了问题,我也不知道,教程是sangen 那个教程。跟着敲,我知道我的版本不对,但是我最后还是new bing 解决我的bug .这样会导致创建一个未认证的token,只包含principal信息,不包含credentials和authorities
spring security 登录权限管理配置
08-13
登录流程 1)容器启动(MySecurityMetadataSource:loadResourceDefine加载系统资源与权限列表) 2)用户发出请求 3)过滤器拦截(MySecurityFilter:doFilter) 4)取得请求资源所需权限(MySecurityMetadataSource:getAttributes) 5)匹配用户拥有权限和请求权限(MyAccessDecisionManager:decide),如果用户没有相应的权限, 执行第6步,否则执行第7步。 6)登录 7)验证并授权(MyUserDetailServiceImpl:loadUserByUsername) 内附完整数据库
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 6983
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类中增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客中,针对基于内存、基于数据库的方式实现了用户的校验操作。 同时也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问的页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
springsecurity记住我登录时访问无权限接口,跳转登录界面
最新发布
weixin_44928129的博客
02-18 796
记住我状态:用户可能选择了“记住我”功能,在记住我状态下,用户的会话仍然有效,但并没有进行实际的身份验证。未登录状态:如果用户尝试访问需要认证的资源但未登录,即未经过认证,在这种情况下应该跳转到登录页面或者返回登录提示,让用户进行身份验证。这就是springsecurity对于记住我的处理逻辑,我想要通过记住我登录的时候,访问无权限接口依然调用AccessDeniedHandler抛出无权限,下面是我的处理方案。贴一下springsecurity权限时异常处理的逻辑。
Spring security中自定义403页面(没有权限跳转自定义页面)
godkzz的博客
08-31 1533
在configure(HttpSecurity http)方法中加入 http.exceptionHandling().accessDeniedPage("/error.html");//配置没有权限访问跳转的自定义页面 整体方法如下 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService user
Spring Security无法访问登录接口
Prongs_的博客
07-18 2446
在postman测试登录接口时,使用json格式传入账号、密码、类型,出现以下错误 security配置 将此处改为 成功登录
SpringSecurity连接数据库并设置权限
weixin_68193389的博客
11-08 504
在页面显示权限是否正确。
SpringSecurity 配置(登陆验证,session失效等等)
共勉
09-28 2010
SpringSecurity安全配置—SSH整合 项目中使用了SpringSecurity,将SpringSecurity安全配置整理出来,实现SpringSecurity安全配置登陆,供需要的朋友参考 使用Springsecurity首先要提的就是jar包了,Springsecurity的jar下载地址:http://static.springsource.org/spring-secur...
SpringBoot+SpringSecurity+JWT权限管理练习项目
01-16
**SpringBoot+SpringSecurity+JWT权限管理练习项目详解** 在当今的Web开发中,权限管理和认证是不可或缺的部分,尤其对于企业级应用来说更是如此。本项目以SpringBoot为基础,结合SpringSecurity进行权限控制,并...
SpringSecurity.pdf
05-24
Spring Security配置灵活,可以通过XML配置文件、Java配置类或者注解来定制安全策略。它还提供了大量的扩展点,允许开发者根据自己的业务需求进行定制和扩展。 Spring Security的学习过程可以分为入门、进阶和...
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
配置过程中,理解Spring Boot的自动配置原理以及Spring Security权限管理机制至关重要。通过数据库存储用户信息,可以实现更灵活和安全的身份验证。结合提供的博客链接,读者可以进一步学习和实践这些概念。
springboot-jpa-security:Spring Data JPA和Spring Security配置示例项目
05-15
连接Spring Data JPA和Spring Security的示例项目 1.配置说明 用户:实现Spring Security的UserDetails界面 Authority:一种实现Spring Security的GrantedAuthority接口的枚举类型。 应用程序的用户权限更有可能在...
SpringSecurity自定义权限不足页面
gaoqiandr的博客
09-20 413
本文主要介绍的是SpringSecurity中的403处理方案
springboot+springsecurity,post方法访问login接口总是登陆失败,get方法传params不管对错都返回302,返回值是一个页面
zjy9951的博客
11-02 1567
问题描述 出错原因 默认配置下 login接口是以表单的形式处理数据的 head头应该设置为application/x-www-form-urlencoded 前端代码 this.$axios({ method: 'post', url: '/login', headers: { 'content-type': 'application/x-www-form-urlencoded' }, params: { user
SpringSecurity中access配置了角色仍登录失败解决方法
Lancis的博客
03-29 330
问题: 配置了acess的角色,但登录后台的时候仍旧失败 <!-- 配置具体的拦截的规则 pattern="请求路径的规则" access="访问系统的人,必须有的角色" --> <security:intercept-url pattern="/**" access="hasAnyRole('ROLE_USER','ROLE_ADMIN')"/> 解决方法: 1.service中要获取的属性前加上"ROLE_",例: authorities.add(new SimpleGrant
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Spring Security 配置白名单访问后,仍然报错403
Stupid_name的博客
05-28 4120
按照若依框架上配置, .antMatchers("/**/login", "/captchaImage").anonymous()
403问题详解
ybb_ymm的专栏
03-08 1万+
今天开发测试的时候,反馈接口返回403错误提示。一开始找不到什么问题。怀疑是跨域、和转换格式错误,审核是权限问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ybb_ymm

你的鼓励会是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值