首页    技术博客    PHP教程    数据库技术    前端开发   HTML5    Nginx    php论坛
新用户注册 | 会员登录
加入会员,解锁专属内容
取消
热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

springsecurity学习和踩坑总结(表单默认配置)

作者: | 来源:互联网 | 2023-09-24 12:03
本文个人博客地址:https:www.leafage.toppostsdetail20829TXGD在上一篇中,介绍了SpringSecurity的默认配置。本篇继续来了解如何进行

spring security 学习和踩坑总结(表单默认配置)

本文个人博客地址:https://www.leafage.top/posts/detail/20829TXGD

在上一篇中,介绍了Spring Security的默认配置。本篇继续来了解如何进行定制配置。Spring Security 默认的配置是 formLogin 和 httpBasic 两种模式,

FormLogin分析:

formLogin 登录就是表单登录,对于未认证的请求进行拦截,跳转到登录页,处理完登录请求之后,如果成功则会redirect到请求拦截之前的路径,例如(这里默认端口为80)请求http://localhost/user,如果没有登录,则会被拦截跳转到login页面,输入用户名密码,点击登录,成功后会redirect到http://localhost/user路径的结果,如果直接访问的是http://localhost/login则成功后会跳转到http://localhost。登录如果失败了,则会跳转到http://localhost/login?error的路径,而要是推出登录,请求的是http://localhost/login?logout的路径。

httpBasic 登录是在请求header中加入认证信息,且每次请求都需要携带一个请求头为WWW-Authenticate的数据,示例为:WWW-Authenticate: Basic realm="Realm",Spring security oauth2 的用户名密码登录模式中的client_id和client_secret也是通过这种方式来传递给后端接口的,关于oauth2后面在做介绍,httpBasic默认的登录处理路径也是login;

默认的realm参数为Realm,查看源码可知:

            这里有一个疑问,默认配置的是formLogin和httpBasic,而且都是http://localhos/login,那为什么浏览器访问的时候,默认是formLogin而不是httpBasic呢?

来看一下WebSecurityConfigurerAdapter的配置:

第二张图片是HttpSecurity getHttp()方法中的代码实现,从代码可以看出,图一中虽然是启用的formLogin和httpBasic两种模式的登录,但是默认的apply了DefaultLoginPageConfigurer类中的配置;

配置了解:

DefaultLoginPageConfigurer类中的代码很简单,声明了两个属性,loginPageGeneratingFilter和logoutPageGeneratingFilter,只有两个方法,覆写的init(H http)和configure(H http),H extends HttpSecurityBuilder。init(H http)配置了默认的login和logout的过滤器,并配置了csrf的相关配置,config(H http)配置了ExceptionHandlingConfigurer,并且添加默认的login和logout过滤器到http过滤器链中,代码如下:

注:图中报错代码是因为我项目是spring cloud gateway, 用的是webflux,所以HttpServletRequest没有。

看到过很多文章在使用security的时候都是直接把csrf配置禁用,而且有的文章中说,为了跨域使用csrf().disable(),这个我就很难理解,csrf为了防止跨站请求攻击,和跨域有毛线关系,跨域配置是cors()。

上面说到config(H)方法中,配置了ExceptionHandlingConfigurer,根据类名可想而知,这个是处理登录失败的逻辑的,通过看代码可以看到这个类中定义了访问被拒绝的处理方法和一些操作,代码如下:

其中config(H)方法覆写了SecurityConfigurerAdapter中的config(H)方法,该方法把获取到的accessDeniedHandler处理器添加了一个ExceptionTranslationFilter过滤器,并将这个过滤器给了过滤器链。

回过头来再看DefaultLoginPageGenerationFilter和DefaultLogoutPageGenerationFilter这两个过滤器都做了哪些事情。DefaultLoginPageGenerationFilter继承抽象类GenericFilterBean,GenericFilterBean实现了Filter接口,DefaultLoginPageGenerationFilter的作用就是用户没有配置登录页的时候给一个默认配置。同样的DefaultLogoutPageGenerationFilter也是一样的,具体的内容在上一篇spring security 学习和踩坑总结(入门)中大概介绍过了,详细信息查看上一篇文章。


推荐阅读
  • import

    在重复造轮子的情况下用ProxyServlet反向代理来减少工作量

    在重复造轮子的情况下用ProxyServlet反向代理来减少工作量
    像不少公司内部不同团队都会自己研发自己工具产品,当各个产品逐渐成熟,到达了一定的发展瓶颈,同时每个产品都有着自己的入口,用户 ... [详细]
  • header

    【译】发送表单数据

    这是原文链接:sendingformdata许多情况下,我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单,但是 ... [详细]
  • metadata

    SpringBoot整合SpringSecurity+JWT实现单点登录

    SpringBoot整合SpringSecurity+JWT实现单点登录
    SpringBoot整合SpringSecurity+JWT实现单点登录,Go语言社区,Golang程序员人脉社 ... [详细]
  • metadata

    postman测试登录后的接口_使用postman进行接口测试的方法(测试用户管理模块)

    本文介绍了使用postman进行接口测试的方法,以测试用户管理模块为例。首先需要下载并安装postman,然后创建基本的请求并填写用户名密码进行登录测试。接下来可以进行用户查询和新增的测试。在新增时,可以进行异常测试,包括用户名超长和输入特殊字符的情况。通过测试发现后台没有对参数长度和特殊字符进行检查和过滤。 ... [详细]
  • case

    的错误消息:

    ZSI.generate.Wsdl2PythonError: unsupported local simpleType restriction ... [详细]
  • uri

    页面请求方法参数最长_关于 HTTP GET/POST 请求参数长度最大值的一个理解误区

    http:my.oschina.netleejun2005blog136820刚看到群里又有同学在说HTTP协议下的Get请求参数长度是有大小限制的,最大不能超过XX ... [详细]
  • uri

    Webmin远程命令执行漏洞复现及防护方法

    Webmin远程命令执行漏洞复现及防护方法
    本文介绍了Webmin远程命令执行漏洞CVE-2019-15107的漏洞详情和复现方法,同时提供了防护方法。漏洞存在于Webmin的找回密码页面中,攻击者无需权限即可注入命令并执行任意系统命令。文章还提供了相关参考链接和搭建靶场的步骤。此外,还指出了参考链接中的数据包不准确的问题,并解释了漏洞触发的条件。最后,给出了防护方法以避免受到该漏洞的攻击。 ... [详细]
  • header

    开发笔记:解决播放框架内容安全策略设置不起作用的问题

    本文介绍了作者在开发过程中遇到的问题,即播放框架内容安全策略设置不起作用的错误。作者通过使用编译时依赖注入的方式解决了这个问题,并分享了解决方案。文章详细描述了问题的出现情况、错误输出内容以及解决方案的具体步骤。如果你也遇到了类似的问题,本文可能对你有一定的参考价值。 ... [详细]
  • require

    javaweb多图片打包下载,弹出提示框问题_html/css_WEBITnose

    在springmvc框架中,前台ajax调用方法,对图片批量下载,如何弹出提示保存位置选框?Controller方法 ... [详细]
  • require

    解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

    解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法
    本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法,包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时,还介绍了修改nginx的error.log日志级别为debug,以便查看详细日志信息。 ... [详细]
  • include

    如何在codeigniter中识别angularjs请求

    本文讨论了如何在codeigniter中识别来自angularjs的请求,并提供了两种方法的代码示例。作者尝试了$this->input->is_ajax_request()和自定义函数is_ajax(),但都没有成功。最后,作者展示了一个ajax请求的示例代码。 ... [详细]
  • require

    Spring常用注解(绝对经典),全靠这份Java知识点PDF大全

    Spring常用注解(绝对经典),全靠这份Java知识点PDF大全
    本文介绍了Spring常用注解和注入bean的注解,包括@Bean、@Autowired、@Inject等,同时提供了一个Java知识点PDF大全的资源链接。其中详细介绍了ColorFactoryBean的使用,以及@Autowired和@Inject的区别和用法。此外,还提到了@Required属性的配置和使用。 ... [详细]
  • header

    响应式页面的概述和实现方式

    本文介绍了响应式页面的概念和实现方式,包括针对不同终端制作特定页面和制作一个页面适应不同终端的显示。分析了两种实现方式的优缺点,提出了选择方案的建议。同时,对于响应式页面的需求和背景进行了讨论,解释了为什么需要响应式页面。 ... [详细]
  • header

    JavaWeb中读取文件资源的路径问题及解决方法

    JavaWeb中读取文件资源的路径问题及解决方法
    在JavaWeb开发中,读取文件资源的路径是一个常见的问题。本文介绍了使用绝对路径和相对路径两种方法来解决这个问题,并给出了相应的代码示例。同时,还讨论了使用绝对路径的优缺点,以及如何正确使用相对路径来读取文件。通过本文的学习,读者可以掌握在JavaWeb中正确找到和读取文件资源的方法。 ... [详细]
  • header

    Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案

    Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案
    本文讨论了在Servlet多用户登录时可能出现的HttpSession会话信息覆盖问题,并提供了解决方案。通过分析JSESSIONID的作用机制和编码方式,我们可以得出每个HttpSession对象都是通过客户端发送的唯一JSESSIONID来识别的,因此无需担心会话信息被覆盖的问题。需要注意的是,本文讨论的是多个客户端级别上的多用户登录,而非同一个浏览器级别上的多用户登录。 ... [详细]
author-avatar
Tags | 热门标签
RankList | 热门文章
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有