Spring Security 4.2.2 一些注意事项

最新推荐文章于 2024-09-26 00:15:00 发布
最新推荐文章于 2024-09-26 00:15:00 发布
阅读量7.4k 收藏 10
点赞数 10
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhanghaoxutao/article/details/60469922
版权

1.配置文件中的http标签变为security:http


2.security:http上的属性use-expressions="false",如果未这么声明,那么在子节点中security:intercept-url的access中直接使用角色名,则会报错
Field or property 'ROLE_USER' cannot be found on object of type 'org.springframework.security.web.access.expression.WebSecurityExpressionRoot

需要使用hasRole来包裹角色名.加上这个属性就可以直接写角色名了.

官方文档:

use-expressions Spring Security will then expect the access attributes of the <intercept-url> elements to contain Spring EL expressions. The expressions should evaluate to a Boolean, defining whether access should be allowed or not

所以,如果不写这个,默认use-expressions="true",那么允许匿名登陆,直接写access="true"就可以了,如果写IS_AUTHENTICATED_ANONYMOUSLY,肯定出问题咯.


3.如果在2中未正确配置登录页面,为匿名可登录.会导致页面出错,显示:多重重定向,同时控制台会有警告

警告: Anonymous access to the login page doesn't appear to be enabled. This is almost certainly an error. Please check your configuration allows unauthenticated access to the configured login page. (Simulated access was rejected: org.springframework.security.access.AccessDeniedException: Access is denied)


4.可能会出现,使用正确的用户名密码登陆后出现
Could not verify the provided CSRF token because your CSRF session was not found

这是因为spring security为了防止跨站请求做的.如果需要关闭那么在security:http下添加一个子标签<security:csrf disabled="true" />

或者保持配置不变在登录的表单中添加验证信息

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

一个梨子:

 <security:http auto-config="true" use-expressions="false">
              <!-- 表示匿名用户可以访问-->
              <security:intercept-url pattern="/go/logon" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
              <security:intercept-url pattern="/admin/*" access="ROLE_ADMIN"/>
              <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
              <security:form-login login-page="/go/logon"
                                   login-processing-url="/login" username-parameter="username"
                                   password-parameter="password" />
              <security:csrf disabled="true" />
</security:http>

另一个梨子:

<security:http auto-config="true">
              <security:intercept-url pattern="/go/logon" access="true"/>
              <security:intercept-url pattern="/admin/*" access="hasRole('ROLE_ADMIN')"/>
              <security:intercept-url pattern="/**" access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')"/>
              <security:form-login login-page="/go/logon"
                                   login-processing-url="/login" username-parameter="username"
                                   password-parameter="password" />
              <security:csrf disabled="true" />
       </security:http>

默认开启这个功能后在,我们使用退出登录配置的时又出现问题.

<security:logout logout-url="/logout" />
如果在登录后通过/logout去退出登录,出问题了,404.找不到页面.放一下文档

http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-logout
我们需要通过POST方式才能退出登录咯.

点击退出时,用一个ajax去请求/logout,同时带上csrf的值就可以了,否则会403.

function logout(){
        var val = $("#logoutParam").val();
        var name = $("#logoutParam").attr("name");
        var csrfData = {};
        csrfData[name] = val;
        $.ajax("/logout", {
            type:"POST",
            data:csrfData,
            success: function (data) {
                if(data.success){
                    goIndex();
                }
            },
            error:function () {
                alert1("退出失败");
            }
        });
    }

5.使用Spring提供的用户数据库验证时.那些sql语句,需要改改.MySQL的如下(注意一下顺序就可以了,有一些外键)

DROP TABLE IF EXISTS `users`;
CREATE TABLE  `users` (
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `groups`;
CREATE TABLE  `groups` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `group_name` varchar(45) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `blog`.`group_members`;
CREATE TABLE  `blog`.`group_members` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `group_id` int(10) unsigned NOT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_group_members_group` (`group_id`),
  CONSTRAINT `fk_group_members_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `blog`.`group_authorities`;
CREATE TABLE  `blog`.`group_authorities` (
  `group_id` int(10) unsigned NOT NULL,
  `authority` varchar(50) NOT NULL,
  PRIMARY KEY (`group_id`),
  CONSTRAINT `fk_group_authorities_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE  `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  KEY `ix_auth_username` (`username`,`authority`),
  CONSTRAINT `fk_authorities_users` FOREIGN KEY (`username`) REFERENCES `users` (`username`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;



叽叽咕咕嘻嘻啦啦
关注
专栏目录
Spring Security 4.2注意事项
海洋之心
10-23 1293
Spring Security 3.2.6.RELEASE 升级到 4.2.3.RELEASE 踩了些坑,记录一下: 1、ifAnyGranted标签取消,使用代替。 2、登录表单字段名修改: j_username -> username j_password -> password _spring_security_remember_me -> remember-me 3、Sprin
spring-security4.2实现登录退出以及权限配置
还想听你的故事
07-25 4542
最近用到了spring-security框架来实现登录验证。 以前做登录的步骤是: 1、用户输入用户名、密码登录 2、连接数据库对用户名、密码进行验证 3、获取用户信息(角色列表等等) 4、获取相关操作权限 security安全框架有点不同: 1、用户名、密码组合生成一个AuthenticationToken对象。 2、生成的这个token对象会传递给一个Authenticati
SpringSecurity
最新发布
wang_san_sui_的博客
09-26 1207
当什么也没有配置的时候,账号和密码是由Spring Security定义生成的。而在实际项目中账号和密码都是从数据库中查询出来的。所以我们要通过自定义逻辑控制认证逻辑。如果需要自定义逻辑时,只需要实现UserDetailsService接口即可。接口定义如下:@Bean@Service@Autowired@Override//1. 查询数据库判断用户名是否存在,如果不存在抛出UsernameNotFoundExceptionif(!
spring整合security4.2完整实例
08-08
spring4.3.18 整合security4.2.7 springdata 完整项目实例
spring security4.2.3 登录权限资源控制框架
wangernb的博客
10-09 624
1. 原理:使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需要一些组件来实现,所以就有...
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 12万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
Maven构建Spring项目步骤与注意事项
在构建Spring项目时,Maven提供了丰富的功能和插件支持,使开发人员能够高效地管理项目依赖、配置构建过程和打包应用程序。 通过使用Maven,开发人员可以轻松地管理Spring框架和相关依赖,并利用各种插件来自动化...
Spring Security认证流程详解:深入理解用户登录与会话管理的12个关键点
![Spring Security认证流程详解:深入理解用户登录与会话管理的12个关键点]...Spring Security 是一个功能强大且可高度定制的身份验证和访问控制框架,它是 Spring 家族的一部分。作为一
Spring框架核心原理:揭秘IOC、AOP、事务管理,掌握Spring框架精髓
Spring框架是一个开源的Java应用程序框架,旨在简化企业级Java应用程序的开发。它提供了全面的功能,包括依赖注入、面向切面编程、事务管理、Web开发和数据访问。 Spring框架采用分层架构,核心模块提供基础功能,...
Spring Boot项目优化:IntelliJ IDEA策略剖析
![Spring Boot项目优化:IntelliJ IDEA策略剖析]...Spring Boot不仅易于上手,还提供了大量的“Starters”项目,让开发者能够快速开始使用常用的服务和工具,例如Spring
Spring框架入门:IOC和AOP的理解与使用
第一章:Spring框架概述 ## 1.1 Spring框架简介 Spring框架是一个轻量级的Java开发框架,它提供了一套全面的解决方案,包括开发企业级应用程序、Web应用程序、移动应用程序和云应用程序等。Spring的核心原则是基于...
springsecurity详解
baidu_37366055的博客
11-23 9万+
1.springsecurity springsecurity底层实现为一条过滤器链,就是用户请求进来,判断有没有请求的权限,抛出异常,重定向跳转。 2.登录页 springsecurity自带一个登录页。 从登陆入手,登录页替换成我们自己的,对输入的账号密码进行验证 /** * 表单登陆security * 安全 = 认证 + 授权 */ @Configuration public class SecurityConfig extends WebSecurityConfigur
使用Spring Security出现spring security Could not verify the provided CSRF token 异常
志远的博客
12-25 1万+
异常:Could not verify the provided CSRF token because your session was not found. 本项目是SpringBoot项目,模板引擎是thymeleaf 解决办法:在from表单中加入一个hidden标签,来引用spring security  的csrf token。 如果是jsp做模板引
spring-security
migo_的专栏
02-25 1289
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring SecuritySpring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
Spring Security详细介绍使用
书启鸿蒙知秋枫
03-08 4610
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。正如你可能知道的关于安全方面的两个核心功能是“
Spring Security最简单全面教程(带Demo)
qq_37771475的博客
01-09 5万+
一、Spring Security简介        Spring Security是为基于Spring的应用程序提供声明式安全保护的安全性框架,它提供了完整的安全性解决方案,能够在web请求级别和方法调用级别处理身份证验证和授权。因为基于Spring框架,所以Spring Security充分利用了依赖注入和面向切面的技术。   Spring Security主要是从两个方面解决安全性问...
spring security 4.2后出现CouldnotverifytheprovidedCSRFtokenbecauseyoursessionwasnotfound
weixin_34055787的博客
01-15 2388
升级到spring security 4.2后,登录不了,出现下面的错误 WARN DefaultHandlerExceptionResolver:361 - Failed to bind request element: org.springframework.web.method.annotation.MethodArgumentTypeMismatchException: Failed t...
spring security (史上最全)
架构师尼恩
04-21 6372
一般意义来说的应用访问安全性,都是围绕认证(Authentication)和授权(Authorization)这两个核心概念来展开的。即:认证这块的解决方案很多,主流的有、、等(不巧这几个都用过-_-),我们常说的单点登录方案(SSO)说的就是这块,授权的话主流的就是spring security和shiro。shiro比较轻量级,相比较而言spring security确实架构比较复杂。但是shiro与 ss,掌握一个即可。这里尼恩给大家做一下系统化、体系化的梳理,供后面的小伙伴参考,提升大家的 3高 架
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值