开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在Spring Security 5.1.6中，logout-success url总是重定向到HTTP而不是HTTPS

的原因可能是配置中存在一些问题。以下是可能导致此问题的几个方面：

配置文件中的协议设置：请确保在Spring Security的配置文件中，logout-success url的协议设置为HTTPS。例如，可以使用以下配置：

<security:logout logout-url="/logout" logout-success-url="https://example.com/logout-success" />

反向代理配置：如果你的应用程序后面有反向代理服务器（如Nginx），请确保反向代理服务器正确地将HTTPS请求转发到应用程序。你可能需要在反向代理服务器的配置中添加以下行：

proxy_set_header X-Forwarded-Proto $scheme;

HTTPS证书配置：确保你的应用程序已正确配置HTTPS证书，并且证书有效。如果证书配置不正确，可能会导致重定向到HTTP而不是HTTPS。
安全头设置：检查应用程序的安全头设置，确保在响应中包含Strict-Transport-Security头，以强制使用HTTPS。例如，在Spring Boot应用程序中，可以通过以下方式配置：

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .headers()
                .httpStrictTransportSecurity()
                    .includeSubDomains(true)
                    .maxAgeInSeconds(31536000);
    }
}

总结：在Spring Security 5.1.6中，如果logout-success url总是重定向到HTTP而不是HTTPS，可能是由于配置文件中的协议设置、反向代理配置、HTTPS证书配置或安全头设置等方面存在问题。请根据具体情况检查和调整相应的配置，以确保logout成功后重定向到正确的HTTPS地址。

相关搜索:Angular 2-始终重定向到https://，而不是使用http://ConfigureApplicationCookie中的AccessDeniedPath路径总是重定向到http，而不是https。我的网站是https Flask url_for在通过docker运行时生成http而不是https OrchardCore OpenId /authorize重定向到http (而不是https)PHP头位置重定向到http而不是https Spring Security不会将HTTP重定向到HTTPS Tomcat应用程序http到https的重定向在URL中显示根目录下一个js和Heroku应用程序用户在键入时被定向到http://，而不是安全的https://在django中，如何在基于类的泛型视图中重定向到?next=url而不是success_url？在Elastic beanstalk负载均衡器中将Http Url重定向到Https

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

SpringBoot-Security 具体案例、实现安全框架、权限控制、aop切入

虽然提到了这些标准，但重要的是要认识到它们在 WAR 或 EAR 级别上是不可移植的。因此，如果切换服务器环境，在新的目标环境中重新配置应用程序的安全性通常需要做大量工作。...“授权”是指决定是否允许主体在应用程序中执行操作的过程。为了达到需要作出授权决定的地步，认证过程已经确定了主体的身份。这些概念是常见的，而且根本不是 Spring Security 特有的。...https://docs.spring.io/spring-security/site/docs/5.0.5.RELEASE/reference/htmlsingle/ 文章简介本文讲的是Spring...适合于初学者，状态大概：对这个不是很懂，但是暂时需要在项目中使用Spring-Boot-Security。案例里有具体的数据库角色表、权限表、资源表是可以切入到已有项目的。....logoutSuccessUrl("/logout-success"); // 自定义登录成功的配置成功后转向这个url } } 5、pojo层 MyUser

8323 0

一个诡异的登录问题

如果使用了 HTTPS 协议登录，登录成功后，HTTPS 协议重定向到 HTTP 协议时，需要重新登录，并且在登录页面总是登录失败，需要清除浏览器缓存才能登录成功。...那就 DEBUG，浏览器发送登录请求，服务端我把 Spring Security 登录流程走了一遍，貌似没问题，登录成功后重定向到 http://localhost:8080/ ，这也是正常的，继续 DEBUG...，重定向到 http://localhost:8080/ 地址时，出现了一点点意外，该请求在 Spring Security 过滤器链的最后一个环节 FilterSecurityInterceptor...Spring Security 在登录成功后，会将用户信息保存在 SecurityContextHolder 中（在 Spring Security 中，我就想从子线程获取用户登录信息，怎么办？）...:8080/http，重定向的请求是 HTTP 请求，而 Cookie 只可以在 HTTPS 环境下传输，所以不会携带 Cookie，服务端以为这是一个匿名请求，所以要求重定向到登录页面，回到登录页面继续登录

1.1K1 0

打造REST风格的Spring Security配置

原文链接：https://www.baeldung.com/securing-a-restful-web-service-with-spring-security 作者： Eugen Paraschiv...认证成功返回200而不是301 3.5. 认证失败返回 401 而不是 302 3.6. AuthenticationManager和Provider 3.7....2.在web.xml中配置Spring Security Spring Security的体系结构是完全基于Servlet 过滤器的，因此，在处理HTTP请求的过程中，它会在Spring MVC之前。...请注意，映射是相对于web应用程序根上下文的，而不是REST Servlet；这是因为整个安全配置都存在于Spring根上下文中，而不是在Servlet的子上下文中。...3.2.认证入口点在一个标准的web应用程序中，当客户端不经过身份认证就试图访问一个安全的资源时，身份认证过程可能会被自动触发——这通常是通过重定向到登录页面来实现的，这样用户就可以输入认证信息了。

8682 0

Spring Boot2 系列教程(三十八)Spring Security 非法请求直接返回 JSON

Spring Security 登录添加验证码 SpringSecurity 登录使用 JSON 格式数据 Spring Security 中的角色继承问题 Spring Security 中使用 JWT...Spring Security 结合 OAuth2 不过，今天要和小伙伴们聊一聊 Spring Security 中的另外一个问题，那就是在 Spring Security 中未获认证的请求默认会重定向到登录页...，但是在前后端分离的登录中，这个默认行为则显得非常不合适，今天我们主要来看看如何实现未获认证的请求直接返回 JSON ，而不是重定向到登录页面。...大家知道，在自定义 Spring Security 配置的时候，有这样几个属性： @Override protected void configure(HttpSecurity http) throws...这里就涉及到 Spring Security 中的一个接口 AuthenticationEntryPoint ，该接口有一个实现类：LoginUrlAuthenticationEntryPoint ，该类中有一个方法

1.3K4 0

Spring Boot 接入 GitHub 第三方登录

Spring-Security对OAuth2.0的支持截止到本文撰写的日期为止，Spring已经提供了对OAuth提供的支持（spring-security-oauth：https://github.com...如果你的项目中使用了过期的Spring-Security-OAuth，请参考《OAuth 2.0迁移指南：https://github.com/spring-projects/spring-security...重定向到github的授权url，OAuth2LoginAuthenticationFilter的作用则是上面3.4步骤的合体，当用户在github的授权页面授权之后github调用回调地址，OAuth2LoginAuthenticationFilter...-client spring-security-oauth更新路线 https://spring.io/blog/2019/11/14/spring-security-oauth-2-0-roadmap-update...spring-security对oauth2.0授权服务器的支持 https://github.com/spring-projects/spring-security/issues/6320 使用spring-boot

2.4K2 0

厉害了，为了干掉 HTTP ，Spring团队又开源 nohttp 项目！

点击上方“芋道源码”，选择“设为星标” 做积极的人，而不是积极废人！...项目是为了在可能使用 https:// 的情况下不使用到 http://，确保不会发生中间人攻击。...Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出，Spring 团队竭尽全力更新所有 URL 以使用 HTTPS，包括项目 Maven 存储库 URL、...Spring Framework 目前已经更新，以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。 <?...另一方面，ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS，每个站点都支持 HTTPS、重定向到 HTTPS，并使用 Strict Transport Security。

4562 0

Spring Boot+Keycloak从零到壹

概览在本文中，我们将介绍安装、配置Keycloak服务器的基础知识，如何将Spring Boot应用程序**和Keycloak服务器连接起来，以及在Spring Security下如何使用它。...我们将被重定向到http://localhost:8180/auth 去创建一个初始的admin用户：让我们创建一个名为“initial1”的用户，密码“zaq1!QAZ“。...可以看到,我们已经被重定向到Keycloak进行认证,并且要检查当前用户是否被授权查看这个内容: 如果通过认证，并且通过Keycloak的授权检查，我们就会被重定向到受限访问的customers页面...> 最新的Spring Boot Starter Security版本可以在 Maven Central找到。...Boot 属性文件支持而不是默认的keycloak.json 5.3. application.properties 因为已经用Spring Security设置了安全约束，所以我们可以删除之前配置在

3.8K2 0

SpringSecurity6 | 核心过滤器

3.1DisableEncodeUrlFilter 该过滤器用于禁用对URL进行编码的功能。它的作用是阻止Spring Security对URL进行自动编码，从而使得URL可以保持原始状态。...在某些情况下，用户可能希望禁用Spring Security对URL的编码，例如在特定的代理服务器或反向代理服务器上，因为这些代理服务器可能会自己处理URL的编码。...此时就可以使用 DisableEncodeUrlFilter 来禁用Spring Security对URL的编码。...当你在Spring Security配置中加入 DisableEncodeUrlFilter 时，它将会在过滤器链中起作用，禁止Spring Security对URL进行编码。...重定向或返回响应：在执行完注销逻辑后，LogoutFilter 可能会将用户重定向到指定的页面，或者直接返回注销成功的响应。

5343 1

如何将Spring Security 集成 SAML2 ADFS 实现SSO单点登录?

简而言之用户需要重定向到IDP去登录，以绕过服务提供商，避免让服务提供商获取用户敏感信息。“服务提供者”和“信赖方”也是同义词，在ADFS，OKta通常叫做SP，而在Spring通常叫做RP。...我们先来看看SAML 2.0依赖方认证在Spring Security中是如何工作的。首先，我们看到，像OAuth 2.0 登录一样，Spring Security 将用户带到第三方进行认证。...单击 AD FS > 服务 > 端点，然后在“元数据”部分中找到 URL 路径即可找到此信息。...httpsAzure AD的重定向URI获取idp metadata，打开终结点（endpoint），saml登录终结点便是终结点SP 配置一、最小依赖 SAML 2.0服务提供者支持在 spring-security-saml2...repositories { mavenCentral() maven { url "https://repo.spring.io/milestone" } maven { url "https://repo.spring.io

1.6K1 0

如何实现一套简单的oauth2授权码类型认证，一些思路，供参考

授权请求主要做的事情就是，检查参数是否合法，如这个第三方应用在自己这边注册了没，如果检查没问题，就会随机生成一个临时的code，拼接到第三方应用提供的回调url中，然后302重定向到第三方应用A。...https://mvnrepository.com/artifact/org.springframework.security.oauth/spring-security-oauth2 坐标： <dependency...另外，前后端未分离，定制页面较为复杂 https://spring.io/blog/2022/06/01/spring-security-oauth-reaches-end-of-life 参考第二种实现的源码进行简单实现...跳到应用A的什么地址呢，我们授权请求不是传了个redirect_uri吗，就重定向到哪里，只是会给你拼个code在后面 GET /?...另外，有时候后端直接重定向有问题时，就可以将要重定向的地址给到前端，由前端去window.location.href跳转也是ok的，也会减少一些跨域问题。有问题可以留言，谢谢大家。

3731 0

Spring Security的配置机制早就变了

涉及Spring Security的日常开发都是围绕这个类进行的，所以这个类是学习Spring Security的重中之重。...重定向到 HTTPS 或者从 HTTPS 重定向到 HTTP。...默认情况下，Spring Security使用一个PortMapperImpl映射 HTTP 端口8080到 HTTPS 端口8443，HTTP 端口80到 HTTPS 端口443 jee() 配置基于容器的预认证...默认情况是，访问URL”/ logout”，使HTTP Session无效来清除用户，清除已配置的任何#rememberMe()身份验证，清除SecurityContextHolder，然后重定向到/login...这一篇非常重要本篇东西非常重要，不是马上就能掌握的，需要有些耐心，需要在使用和学习中总结和发现。

1.2K1 0

Spring 框架相关漏洞合集 | 红队技术

() 而不指定停止类，这意味着 'class' 属性及其后的所有内容均可用于HTTP请求中的设置。.../spring-form.tld - 定义spring表单标签并指定实现为标签文件而不是类 - META-INF/tags/中的标签文件，包含有标签定义（任意Java代码） /META-INF/spring-form.tld...CVE-2019-3778 Spring Security OAuth 开放重定向 影响版本： Spring Security OAuth 2.3 to 2.3.4 Spring Security OAuth...只需添加一个百分号即可触发重定向，而不是通过 RedirectMismatchException 错误来绕过验证。例如原始请求如下： /auth/oauth/authorize?...CVE-2019-11269 Spring Security OAuth 开放重定向 此漏洞为 CVE-2019-3778的延伸版本，效果一致影响版本：Spring Security OAuth 2.3

5.6K2 1

Spring Security 最佳实践，看了必懂！

Spring Security简介 Spring Security 是一种高度自定义的安全框架，利用（基于）SpringIOC/DI和AOP功能，为系统提供了声明式安全访问控制功能，「减少了为系统安全而编写大量重复代码的工作.../yudao-cloud 视频教程：https://doc.iocoder.cn/video/ Spring Security 项目搭建导入依赖 Spring Security已经被Spring boot...在浏览器输入：http://localhost:8080/ 进入Spring Security内置登录页面用户名：user。密码：项目启动，打印在控制台中。...Security请求转发使用POST请求。方式二：重定向 http.formLogin() .usernameParameter("name") // 设置请求参数中，用户名参数名称。 ...默认是 /login .defaultSuccessUrl("/toMain",true); //用户登录成功后，响应重定向到的位置。GET请求。必须配置绝对地址。

8481 0

厉害了，Spring团队又开源 nohttp 项目！

项目是为了在可能使用 https:// 的情况下不使用到 http://，确保不会发生中间人攻击。...Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出，Spring 团队竭尽全力更新所有 URL 以使用 HTTPS，包括项目 Maven 存储库 URL、...Spring Framework 目前已经更新，以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。 <?...通过类路径解析，而不需要网络连接。...另一方面，ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS，每个站点都支持 HTTPS、重定向到 HTTPS，并使用 Strict Transport Security。

1K4 0

真狠，为了干掉 HTTP ，Spring团队又开源nohttp了！

Spring Security、Session 和 LDAP 项目负责人 ROB WINCH 指出，Spring 团队竭尽全力更新所有 URL 以使用 HTTPS，包括项目 Maven 存储库 URL、...Spring Framework 目前已经更新，以解析通过类路径使用 HTTPS 位置的 XML 位置。以往这仅适用于使用 HTTP 的 URL。 <?...URL 通过类路径解析，而不需要网络连接。...另一方面，ROB 表示 Spring 团队已更新所有主机以确保使用 HTTPS，每个站点都支持 HTTPS、重定向到 HTTPS，并使用 Strict Transport Security。...nohttp 可用于查找、替换和阻止 http:// 的使用，项目库包含了几大模块： nohttp - 核心，允许查找和替换 http:// URL nohttp-cli - 轻量的 nohttp 封装

4983 0

Spring Boot 与 OAuth2

在每个添加新功能的例子中都有以下特点: 简单：一个非常基本的静态应用程序只有一个主页，并通过Spring Boot的 EnableOAuth2Sso无条件登录（如果你访问主页，你将自动重定向到Facebook...做了以上改变，你可以再次运行应用程序，并访问 http//localhost:8080的主页。接下来你应该重定向到Facebook登录而不是主页。...(/^http:.*/.test(settings.url) || /^https:.*/ .test(settings.url))) { // Only send the...resource: user-info-uri: http://localhost:8080/me 该配置看起来与我们在主应用程序中使用的配置非常相似，但使用的是“acme”客户端，而不是Facebook...error=true"; } 在示例应用程序中，我们将它放在主应用程序类中，该类现在是 @Controller (而不是 @RestController)，因此它可以处理重定向。

10.6K12 0

Spring Security 表单登录

添加Spring Security到Web应用要使用上面定义的Spring Security配置，我们需要将其添加到Web应用程序。...Security 的XML配置– webSecurityConfig.xml: 6. web.xml 在引入Spring 4之前，我们曾经在 web.xml中配置Spring Security - 只有一个额外的过滤器添加到 SpringMVC 的web.xml...登录成功页面成功登录过程后，用户将被重定向到页面 - 默认情况下，该页面是Web应用程序的根目录。...当项目在本地运行时，可以在以下位置访问示例HTML： http://localhost:8080/spring-security-mvc-login/login.html 原文：https://www.baeldung.com

1.6K1 0

Spring Security OAuth实现GitHub快捷登录

spring-security-oauth2-client Spring Security支持OAuth和OIDC的客户端功能实现包。...> 注意：必须引入spring-boot-starter-oauth2-client依赖注册OAuth应用在GitHub上注册一个OAuth应用地址是：https...，我们将其设置为http://localhost:8080 Application description：非必填，应用描述 Authorization callback URL：必填，OAuth认证的重定向地址...配置application.yml 接下来在配置文件中增加对于的配置 spring: security: oauth2: client: registration...Spring Security OAuth 默认的重定向模板是{baseUrl}/login/oauth2/code/{registrationId},registrationId 是ClientRegistration

6501 0

Spring Security 4 基于角色的登录例子（带源码）

原文网址： http://websystique.com/spring-security/spring-security-4-role-based-login-example/ 【相关已翻译的本系列其他文章...也就是说，根据其角色登录以后重定向到不同的url。一般来说，我们需要自定义一个Success-Handler 来根据用户角色处理登录用户的重定向到对应的url。...在本例中根据角色USER/ADMIN/DBA重定向到home/admin/db 以上配置对应的xml配置文件：下面是上面的类里面涉及的 Success-Handler package...此方法从Authentication 对象中提取角色然后根据角色构建对应的url.最后在 Spring Security 负责所有重定向事务的RedirectStrategy （重定向策略）来重定向请求到指定的...角色，登录后将被重定向到/db 页面。

1.2K3 0

Spring Security 学习笔记，看了必懂！

Spring Security简介 Spring Security 是一种高度自定义的安全框架，利用（基于）SpringIOC/DI和AOP功能，为系统提供了声明式安全访问控制功能，「减少了为系统安全而编写大量重复代码的工作...在浏览器输入：http://localhost:8080/ 进入Spring Security内置登录页面用户名：user。密码：项目启动，打印在控制台中。...Security请求转发使用POST请求。方式二：重定向 http.formLogin() .usernameParameter("name") // 设置请求参数中，用户名参数名称。 ...默认是 /login .defaultSuccessUrl("/toMain",true); //用户登录成功后，响应重定向到的位置。GET请求。必须配置绝对地址。 ...如果你看好一个事情，一定是坚持了才能看到希望，而不是看到希望才去坚持。相信我，只要坚持下来，你一定比现在更好！如果你还没什么方向，可以先关注我，这里会经常分享一些前沿资讯，帮你积累弯道超车的资本。

1.3K2 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭