Spring Boot Security UsernamePasswordAuthenticationFilter不会将登录url限制为仅发布
Spring Boot Security是一个基于Spring Boot的安全框架,用于保护应用程序的安全性。UsernamePasswordAuthenticationFilter是Spring Security提供的一个过滤器,用于处理基于用户名和密码的身份验证。
该过滤器的作用是在用户登录时拦截请求,并验证用户提供的用户名和密码是否正确。如果验证成功,用户将被授权访问受保护的资源。
然而,默认情况下,UsernamePasswordAuthenticationFilter不会将登录URL限制为仅发布。这意味着,即使用户已经登录,他们仍然可以通过直接访问登录URL来重新登录。
为了将登录URL限制为仅发布,我们可以通过配置Spring Security来实现。具体步骤如下:
- 创建一个配置类,继承自WebSecurityConfigurerAdapter,并添加@Configuration注解。
- 在配置类中重写configure(HttpSecurity http)方法,用于配置Spring Security的安全策略。
- 在configure(HttpSecurity http)方法中,使用http.authorizeRequests()方法来配置URL的访问权限。
- 使用.antMatchers()方法指定要限制的URL,使用.permitAll()方法允许所有用户访问。
- 使用.anyRequest().authenticated()方法指定除了登录URL以外的所有URL都需要进行身份验证。
- 使用.formLogin().loginPage("/login")方法指定登录页面的URL。
- 使用.and().logout().logoutUrl("/logout")方法指定注销URL。
- 使用.and().csrf().disable()方法禁用CSRF保护。
以下是一个示例配置类的代码:
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/login").permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.and()
.logout()
.logoutUrl("/logout")
.and()
.csrf().disable();
}
}在上述示例中,我们将登录URL限制为仅发布,并指定了登录页面的URL为"/login",注销URL为"/logout"。其他URL都需要进行身份验证。
对于Spring Boot项目,我们可以将上述配置类放置在项目的src/main/java目录下的任意位置,并确保被Spring Boot能够扫描到。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云云数据库MySQL版:https://cloud.tencent.com/product/cdb_mysql
- 腾讯云对象存储(COS):https://cloud.tencent.com/product/cos
- 腾讯云人工智能:https://cloud.tencent.com/product/ai
- 腾讯云物联网套件:https://cloud.tencent.com/product/iot-suite
- 腾讯云移动推送:https://cloud.tencent.com/product/tpns
- 腾讯云区块链服务:https://cloud.tencent.com/product/tbaas
- 腾讯云元宇宙:https://cloud.tencent.com/product/tencent-metaverse
请注意,以上链接仅供参考,具体的产品选择应根据实际需求和情况进行评估和决策。
相关·内容
2回答
Spring Boot Security UsernamePasswordAuthenticationFilter不会将登录url限制为仅发布
spring、http、security、authentication、post
身份验证可以正常工作,但登录url可以在任何HTTP方法(GET、PUT等)上工作,而不是只在POST上工作。= "/authentication"; .and()
.addFilterBefore(getJWTAuth
浏览 36提问于2020-01-03得票数 0
2回答
已实现的安全依赖项和登录页面
java、spring、spring-boot
当Tomcat在localhost:8080上运行时,我假设当我转到localhost:8080/users时,我将能够看到我添加的用户 相反,它会将我带到spring创建的登录页面。尽管我可以使用'user‘作为用户名登录,并且生成的密码在构建中,但我不希望实现这一点,因为我将在将来进行自己的身份验证。@336c3f7a,org.springframework.security.web.authentication.UsernamePasswordAuthe
浏览 33提问于2020-04-23得票数 1
回答已采纳
1回答
Spring安全的自定义登录是如何工作的
java、authentication、spring-security、logout
我必须实现一个自定义登录表单,所以我需要很好地理解我的配置意味着什么。spring-security.xml xmlns:beans/security/spring-security-4.0.xsd">
<htt
浏览 4提问于2016-10-14得票数 4
回答已采纳
2回答
如何在authenticationManagerBuilder上注册多个UserDetailsService
spring、spring-boot、authentication、spring-security、userdetailsservice
我有两个不同的存储库,用于普通用户和管理员,以及单独的url端点进行身份验证。
浏览 4提问于2020-12-10得票数 2
1回答
使用Java Config的Spring Security自定义身份验证过滤器
java、spring、spring-security
我正在尝试在一个基本的web应用程序中使用Java配置来配置Spring Security,以便使用URL请求参数中提供的加密令牌对外部web服务进行身份验证。我希望(我认为)有一个安全过滤器来拦截来自登录门户的请求(它们都转到/authenticate),该过滤器将使用AuthenticationProvider来处理身份验证过程的业务逻辑。登录门户-->重定向'\ Authenticate‘(+ Token) -->将身份验证令牌返回登录门户(WS)
浏览 1提问于2014-12-16得票数 42
2回答
SpringSecurity3.1.4带有窗体登录的多个http元素
java、spring、spring-security
电流,工作配置<http pattern="/login" security="non
浏览 1提问于2014-02-21得票数 1
回答已采纳
2回答
使用JWT和基本身份验证保护REST应用程序有意义吗?
spring-security、basic-authentication、jwt
我有一个Spring REST应用程序,它最初是通过基本身份验证进行保护的。
然后,我添加了一个登录控制器来创建JWT JSON Web令牌,该令牌将在后续请求中使用。我可以将以下代码移出登录控制器并放入安全筛选器吗?这样我就不再需要登录控制器了。
浏览 3提问于2015-03-08得票数 45
回答已采纳
6回答
REST端点身份验证的Spring安全性意外行为?
spring、rest、spring-mvc、spring-boot、spring-security
我们正在寻找的场景如下:
@Configurationpublic class WebSecurityConfig extends WebSecurityConfigurerAdapterantMatchers("/", "/
浏览 0提问于2016-12-22得票数 2
1回答
Spring boot :无userInfo端点-如何在客户端直接从oauth2访问令牌加载身份验证(主体
java、spring-boot、oauth-2.0
我正在设置一个oauth 2.0客户端应用程序,它会将用户重定向到外部IDP (授权服务器)进行登录。我的应用程序将经历常规的oauth 2授权码授权流程-1)重定向用户登录。由于外部IDP仅使用oauth 2进行身份验证,因此它们不会提供用户信息端点url ( OIDC提供商所需)来获取用户详细信息。我使用的是spring Boot2.x发行版,它使用spring参考示例社交oauth2项目中提供的标准oauth客户端配置。
如果有人能为我指引正确的
浏览 1提问于2019-11-07得票数 6
2回答
Spring安全筛选器未启动
spring-boot、spring-security
我有两个安全配置,一个用于登录端点,使用AuthenticationFromCredentialsFilter筛选器进行身份验证,另一个用于其他端点,使用AuthenticationFromTokenFilter在过滤器中而不是在登录控制器中,是否有必要对凭据进行身份验证并创建令牌?
登录控制器现在存在,但它应该不存在,因为它的工作应该由筛选器完成。ComponentScan(nameGenerator = PackageBeanNameGenerator.class, basePackages = { "com.thalasof
浏览 4提问于2018-08-04得票数 1
2回答
logoutSuccessUrl没有在Spring工作
security、spring-boot
:spring-boot-starter-security") testCompile('org.springframework.boot当我尝试访问URL "/readingList“时,我会得到自定义的登录页面。如果输入不正确的凭据,则返回登录页进行另一次尝试。如果输入有效的凭据,就会得到readingList页面。到目前一切尚好。当
浏览 7提问于2016-03-04得票数 1
回答已采纳
1回答
调试Spring安全筛选器链
spring、spring-security
在SSO过程最后阶段,将发布一个如下所示的URL,它绕过身份验证/登录页面并打开主页。 http://localhost:8181/MyApp/j_spring_security_check?为什么不转到主页或未调用的CustomAuthenticationFilter.attemptAuthentication方法(覆盖UsernamePasswordAuthenticationFilter: /j_
浏览 39提问于2020-09-02得票数 0
回答已采纳
5回答
Spring-引导Spring-安全会话超时
spring-security、spring-boot
我在前一段时间发布了这篇文章,但这个问题没有得到回答(我对那些看到这篇文章的人表示歉意,这是没有道理的。):spring-boot-starter-web:$springBootVersion") compile("org.springframework.boot:spring
浏览 0提问于2014-07-03得票数 11
1回答
如何在Spring应用程序中使用Security侦听登录/注销事件?
java、spring、events、spring-security、spring-boot
在Security中成功/失败的登录/注销之后,我正在尝试记录消息。我使用的表单是自动生成的。我也使用作为参考,但我认为我不需要编写发布者,因为我不是为事件编写自己的类。如果有帮助,失败的登录将产生以下输出(预期的输出应该包括“登录失败”和当前日期,这是一个debug=TRUE在application.properties中的日志):
2016-03-16 18:50:[nio-8080-exec-7] w.c.Ht
浏览 3提问于2016-03-16得票数 0
回答已采纳
22回答
如何在Spring + Spring安全应用程序中配置CORS?
javascript、spring、spring-security、spring-boot、cors
我在Security和Cors支持下使用Spring。如果我执行以下代码xmlhttp = new XMLHttpRequest
CORS支持将在即将发布的Spring 1.3版本中提供,并已在1.3.0.BUILD快照
浏览 37提问于2016-05-01得票数 110
1回答
用用户角色将用户保存到DB (JAVA)
java、spring、spring-security
login") return "login.jsp"; application.properties: <artifactId>spring-boot-starter-sec
浏览 1提问于2022-11-11得票数 0
8回答
利用Spring Security实现跨域资源共享
java、spring-security、cors
我试图让CORS很好地处理Spring Security,但它并不符合要求。不幸的是,允许Spring Security通过AJAX登录的URL没有响应:http://localhost:8080/mutopia-server/resources/j_spring_security_check在Chrome中
当尝试访问j_spring_security_check时
浏览 149提问于2013-08-16得票数 31
回答已采纳
2回答
在Spring Boot应用程序中配置安全性
spring-boot、spring-security
我正在将一个应用程序升级到Spring Boot 2.0.3。但我的登录请求是未经授权的: private static final String T
浏览 3提问于2018-07-25得票数 9
5回答
springSecurityFilterChain如何跳过已登录请求的身份验证
spring、spring-security、httpwebrequest
我一直在研究spring安全,一切都运行得很好。但我只是去调试它是如何工作的。所有过滤器都是通过http命名空间为springsecurityfilterchain配置的。我发现,当一个新的登录请求到来(没有之前的会话)时,身份验证过滤器被调用,但当请求来自已经登录的用户时,即存在一个会话时,身份验证过滤器就不会被调用。我找不到“springsecurity”在哪里以及如何跳过已经登录的请求的身份验证。请帮助我理解这一点。
谢谢
浏览 0提问于2012-06-27得票数 1
34回答
如何在jQuery Ajax调用后管理重定向请求
javascript、jquery、ajax、redirect
但是,如果会话超时,服务器将发送一个重定向指令将用户发送到登录页。在本例中,jQuery将div元素替换为登录页面的内容,迫使用户亲眼看到一个罕见的场景。
浏览 49提问于2008-10-13得票数 1483
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频活动推荐
腾讯云开发者
