2. 程式人生 > >upgrade to Spring-Security 4.X後的登入問題

upgrade to Spring-Security 4.X後的登入問題

阿新 發佈:2018-12-25

升級到4.2.3後,登入出現

HTTP Status 403 - Could not verify the provided CSRF token because your session was not found

sec http裡面需要增加: 
<sec:headers>
    		<sec:frame-options disabled="true"/>
    		<sec:content-type-options disabled="true"/>
    		<sec:cache-control disabled="true"/>
    		<sec:xss-protection disabled="true"/>
    	</sec:headers>
		<sec:session-management session-authentication-strategy-ref="sas" />

		<sec:csrf disabled="true" />
配置檔案: 
	<!--session認證成功後的session策略 -->
	 <bean id="sas" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
	    <property name="migrateSessionAttributes" value="true"/>
	    <!--
	    <property name="retainedAttributes">
	      <list>
	    	<value>SPRING_SECURITY_SAVED_REQUEST</value>
	    	<value>docUser</value>
	      </list>
	    </property>
	     -->
	  </bean>



sec:form-login裡面的:

<sec:form-login login-page="/login.jsp"
			username-parameter="j_username"
			password-parameter="j_password"
			login-processing-url="/j_security_check"
			default-target-url="/index.jsp"	authentication-failure-url="/login.jsp?error=true"/>
		<sec:http-basic />

原來3的時候,沒
username-parameter="j_username"
			password-parameter="j_password"

如果不增加的話,會報

org.springframework.security.authentication.BadCredentialsException: Empty Username

完整的配置檔案: 
<sec:http auto-config="false" servlet-api-provision="true" use-expressions="true"  >
<sec:intercept-url pattern="/log*" access="permitAll" />
<sec:intercept-url pattern="/css/**" access="permitAll" />
<!-- 需要經過驗證後才能訪問的 -->
<!-- <sec:intercept-url pattern="/**" access="isAuthenticated()" /> -->

<sec:form-login login-page="/login.jsp"
username-parameter="j_username"
password-parameter="j_password"
login-processing-url="/j_security_check"
default-target-url="/index.jsp"authentication-failure-url="/login.jsp?error=true"/>
<sec:http-basic />

<sec:logout logout-success-url="/logout.jsp" />
<sec:remember-me />

<!-- 過濾器 -->
<sec:custom-filter ref="jeePreAuthenticatedFilter" position="PRE_AUTH_FILTER" />


<sec:headers>
    <sec:frame-options disabled="true"/>
    <sec:content-type-options disabled="true"/>
    <sec:cache-control disabled="true"/>
    <sec:xss-protection disabled="true"/>
    </sec:headers>
<sec:session-management session-authentication-strategy-ref="sas" />


<sec:csrf disabled="true" />


</sec:http>
<!--session認證成功後的session策略 -->
 <bean id="sas" class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
    <property name="migrateSessionAttributes" value="true"/>
  </bean>

具體參考:

http://docs.spring.io/spring-security/site/migrate/current/3-to-4/html5/migrate-3-to-4-xml.html#m3to4-xmlnamespace-form-login

相關推薦

upgrade to Spring-Security 4.X登入問題

升級到4.2.3後,登入出現 HTTP Status 403 - Could not verify the provided CSRF token because your session was not found sec http裡面需要增加: <sec:hea

Spring Security 4 退出登入,頁面停留在登入頁,Url卻多了一個Logout引數

spring security 4 的logout問題 今天在整合spring-boot 和 spring-security的時候,出現瞭如下的怪象: 配置好了基本的登入和身份驗證(自定義了一個簡單的UserDetailsService),springboo

Spring Security 4.x 啟用CSRF防禦logout只能是POST請求

學習Spring Security時碰到這個問題 官方原文: 18.5.3 Logging Out Adding CSRF will update the LogoutFilter to only use HTTP POST. This ensures tha

Spring Security 4.x -> 5.x 踩坑記錄

1. AuthenticationManager無法自動注入 在實現AbstractAuthenticationProcessingFilter重寫以使用者名稱、密碼認證時,需要顯示注入AuthenticationManager,不然會報如下錯誤: Caus

Spring Security 4.X xml配置重定向

<!-- 後臺許可權控制 @PreAuthorize --> <global-method-security pre-post-annotations="enabled" /> <form-login login-page="/login

Spring Security 4 整合Hibernate 實現持久化登入驗證(帶原始碼)

【相關已翻譯的本系列其他文章,點選分類裡面的spring security 4】 本教程將使用Spring Security 4 和hibernate向你展示持久化登入驗證. 在持久化登入驗證中,應用通過session記住使用者特徵。 一般來說,在登入介面,當你

spring boot結合spring security實現註冊自動登入

spring boot結合spring security實現使用者註冊後自動登入 在開發過程中,有些頁面只有使用者登入之後才能訪問,比如使用者的個人中心,但是按道理使用者註冊之後也應該有許可權進入了個

Spring Security 4.0 CAS實現單點登入

1、各framework版本資訊       JDK 8       Tomcat 7       SpringMVC-4.2.0.RELEASE       Spring Security 4.2.0.RELEASE       CAS-Client 3.3.3       CAS-Serv

spring security 4.1.x入門

許可權控制在網頁開發中是很重要的一部分,最基本的就是用form進行賬號密碼的認證,更復雜的可能控制的粒度會更細一些,spring securty相關的資訊在網上可以搜到很多,入門的例程更是多不勝數,但是在我學習瞭解的過程中,卻發現沒有一個簡單易懂的,給學習之路帶

Spring Security之多次登入失敗賬戶鎖定功能的實現

在上一次寫的文章中,為大家說到了如何動態的從資料庫載入使用者、角色、許可權資訊,從而實現登入驗證及授權。在實際的開發過程中,我們通常會有這樣的一個需求:當用戶多次登入失敗的時候,我們應該將賬戶鎖定,等待一定的時間之後才能再次進行登入操作。 一、基礎知識回顧 要實現多次登入失敗賬戶鎖定的功能,我們需要先回顧

Spring Security 4.2.3 Filters 解析

其中 validate ali 配置 生命 擁有 path str support 一、 熟悉一個模塊的最快方法 1. 配置logback文件,打印相應的debug信息 2. 根據相應的信息,打斷點查看執行結果 二、spring 使用 DelegatingFilterP

Spring Security Oauth2 單點登入案例實現和執行流程剖析

線上演示 演示地址:http://139.196.87.48:9002/kitty 使用者名稱:admin 密碼:admin Spring Security Oauth2 OAuth是一個關於授權的開放網路標準,在全世界得到的廣泛的應用,目前是2.0的版本。OAuth2在“客戶端”與“服務提供商”之間

spring security 5.x 入門及分析

Java Web專案的許可權管理框架,目前有兩個比較成熟且使用較多的框架,Shiro 和 Spring Security ,Shiro 比 Spring Security更加輕量級,但是需要手動配置的東西較多,Spring Security 和 Spring 整合更好,甚至直

spring security 5.x 使用及分析(二:自定義配置—初階)

二、自定義配置(初階): 自定義的配置,就要修改一些預設配置的資訊,從那開始入手呢? 1、第一步:建立Spring Security 的Java配置,改配置建立一個名為springSecurityFilterChain的servlet過濾器,它負責應用程式的安

spring boot中spring security實現單點登入,傳統模式(一)

單點登入是什麼? 一個系統中可能會引用別的很多系統。單點登入就是解決,一次登入,就可以訪問所有的系統。 每次瀏覽器向一個域名傳送http請求,會去查詢域名的cookie資訊拼接到http的header中傳送到伺服器。 cookie不能跨域。這個域是瀏覽器請求的域名,哪怕他們都是訪問一

Spring Security 4.2.2 一些注意事項

1.配置檔案中的http標籤變為security:http2.security:http上的屬性use-expressions="false",如果未這麼宣告,那麼在子節點中security:intercept-url的access中直接使用角色名,則會報錯Field or

簡單的Spring Security例項(自定義登入驗證)

Spring Security是一個能夠為基於Spring的企業應用系統提供宣告式的安全訪問控制解決方案的安全框架。它提供了一組可以在Spring應用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反轉Inversion of Contr

Spring Security 4 (03)—— 資源資訊

序言 這一篇主要是講資源的載入和認證 1.記憶體載入 <security:http auto-config="false" use-expressions="false" &g

Spring Security實現後臺管理員登入(一)

一、實現功能 二、資料表設計 為了測試方便,這裡建立一個簡單的資料表,只含有name和password兩個欄位。至於角色,許可權等,這裡都先不考慮。 插入一條資料,name為admin,password為e10adc3949ba59abbe56e057f20f883e(

Spring Security認證成功回跳(解決前後端分離下OAuth2認證成功回跳)

前言 Spring Security(後面簡稱SS)用了很長時間了,但之前一直沒注意到一個有趣的特性,直到最近弄前後端分離,在OAuth2提供者(github)認證後,需要跳回前端頁面(前端頁面和服務端不在同個域下),然後突然一般情況下(同域),SS認證後會自動跳回認證前使