2. 程式人生 > >Spring Security 4.2.2 一些注意事項

Spring Security 4.2.2 一些注意事項

阿新 發佈:2018-12-25

1.配置檔案中的http標籤變為security:http

2.security:http上的屬性use-expressions="false",如果未這麼宣告,那麼在子節點中security:intercept-url的access中直接使用角色名,則會報錯
Field or property 'ROLE_USER' cannot be found on object of type 'org.springframework.security.web.access.expression.WebSecurityExpressionRoot

需要使用hasRole來包裹角色名.加上這個屬性就可以直接寫角色名了.

官方文件:

use-expressions Spring Security will then expect the access attributes of the <intercept-url> elements to contain Spring EL expressions. The expressions should evaluate to a Boolean, defining whether access should be allowed or not

所以,如果不寫這個,預設use-expressions="true",那麼允許匿名登陸,直接寫access="true"就可以了,如果寫IS_AUTHENTICATED_ANONYMOUSLY,肯定出問題咯.

3.如果在2中未正確配置登入頁面,為匿名可登入.會導致頁面出錯,顯示:多重重定向,同時控制檯會有警告

警告: Anonymous access to the login page doesn't appear to be enabled. This is almost certainly an error. Please check your configuration allows unauthenticated access to the configured login page. (Simulated access was rejected: org.springframework.security.access.AccessDeniedException: Access is denied)

4.可能會出現,使用正確的使用者名稱密碼登陸後出現
Could not verify the provided CSRF token because your CSRF session was not found

這是因為spring security為了防止跨站請求做的.如果需要關閉那麼在security:http下新增一個子標籤<security:csrf disabled="true" />

或者保持配置不變在登入的表單中新增驗證資訊

<input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}"/>

一個梨子:

 <security:http auto-config="true" use-expressions="false">
              <!-- 表示匿名使用者可以訪問-->
              <security:intercept-url pattern="/go/logon" access="IS_AUTHENTICATED_ANONYMOUSLY"/>
              <security:intercept-url pattern="/admin/*" access="ROLE_ADMIN"/>
              <security:intercept-url pattern="/**" access="ROLE_USER,ROLE_ADMIN"/>
              <security:form-login login-page="/go/logon"
                                   login-processing-url="/login" username-parameter="username"
                                   password-parameter="password" />
              <security:csrf disabled="true" />
</security:http>

另一個梨子:

<security:http auto-config="true">
              <security:intercept-url pattern="/go/logon" access="true"/>
              <security:intercept-url pattern="/admin/*" access="hasRole('ROLE_ADMIN')"/>
              <security:intercept-url pattern="/**" access="hasRole('ROLE_USER') or hasRole('ROLE_ADMIN')"/>
              <security:form-login login-page="/go/logon"
                                   login-processing-url="/login" username-parameter="username"
                                   password-parameter="password" />
              <security:csrf disabled="true" />
       </security:http>

預設開啟這個功能後在,我們使用退出登入配置的時又出現問題.

<security:logout logout-url="/logout" />
如果在登入後通過/logout去退出登入,出問題了,404.找不到頁面.放一下文件

http://docs.spring.io/spring-security/site/docs/current/reference/htmlsingle/#csrf-logout
我們需要通過POST方式才能退出登入咯.

點選退出時,用一個ajax去請求/logout,同時帶上csrf的值就可以了,否則會403.

function logout(){
        var val = $("#logoutParam").val();
        var name = $("#logoutParam").attr("name");
        var csrfData = {};
        csrfData[name] = val;
        $.ajax("/logout", {
            type:"POST",
            data:csrfData,
            success: function (data) {
                if(data.success){
                    goIndex();
                }
            },
            error:function () {
                alert1("退出失敗");
            }
        });
    }

5.使用Spring提供的使用者資料庫驗證時.那些sql語句,需要改改.MySQL的如下(注意一下順序就可以了,有一些外來鍵)

DROP TABLE IF EXISTS `users`;
CREATE TABLE  `users` (
  `username` varchar(50) NOT NULL,
  `password` varchar(50) NOT NULL,
  `enabled` tinyint(1) NOT NULL,
  PRIMARY KEY (`username`)
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `groups`;
CREATE TABLE  `groups` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `group_name` varchar(45) NOT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=3 DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `blog`.`group_members`;
CREATE TABLE  `blog`.`group_members` (
  `id` int(10) unsigned NOT NULL AUTO_INCREMENT,
  `username` varchar(50) NOT NULL,
  `group_id` int(10) unsigned NOT NULL,
  PRIMARY KEY (`id`),
  KEY `fk_group_members_group` (`group_id`),
  CONSTRAINT `fk_group_members_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `blog`.`group_authorities`;
CREATE TABLE  `blog`.`group_authorities` (
  `group_id` int(10) unsigned NOT NULL,
  `authority` varchar(50) NOT NULL,
  PRIMARY KEY (`group_id`),
  CONSTRAINT `fk_group_authorities_group` FOREIGN KEY (`group_id`) REFERENCES `groups` (`id`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;
DROP TABLE IF EXISTS `authorities`;
CREATE TABLE  `authorities` (
  `username` varchar(50) NOT NULL,
  `authority` varchar(50) NOT NULL,
  KEY `ix_auth_username` (`username`,`authority`),
  CONSTRAINT `fk_authorities_users` FOREIGN KEY (`username`) REFERENCES `users` (`username`) ON DELETE NO ACTION ON UPDATE NO ACTION
) ENGINE=InnoDB DEFAULT CHARSET=utf8;

相關推薦

Spring Security 4.2.2 一些注意事項

1.配置檔案中的http標籤變為security:http2.security:http上的屬性use-expressions="false",如果未這麼宣告,那麼在子節點中security:intercept-url的access中直接使用角色名,則會報錯Field or

Spring Security 4.2.3 Filters 解析

其中 validate ali 配置 生命 擁有 path str support 一、 熟悉一個模塊的最快方法 1. 配置logback文件,打印相應的debug信息 2. 根據相應的信息,打斷點查看執行結果 二、spring 使用 DelegatingFilterP

Spring Security 4.2.10 過濾器順序

aware ESS ember ssi sap war 協議 exce basic spring security 的版本為4.2.10。文檔章節13.3。文檔原文 無論是否使用這些過濾器,總的順序如下: 順序 名稱 功能 1 ChannelProcessi

Spring-Security】【2】DelegatingFilterProxy

pat security clas 添加 chain let XML org mapping Spring Security 對我們應用的影響是通過一系列的 ServletRequest 過濾器實現的。 Spring Security 使用了 o.s.web.filter

Spring Security入門(2-3)HttpSecurity的使用

登錄 一個 最終 指定 ebs row pat ati 是我 到目前為止我們的 SecurityConfig 只包含了關於如何驗證我們的用戶的信息。 Spring Security怎麽知道我們想對所有的用戶進行驗證?Spring Security怎麽知道我們需要支持基於表單

Spring Tools 4.0.2 釋出,針對 Spring 應用的開發環境

   Spring Tools 4 for Eclipse, Visual Studio Code 和 Atom 的 4.0.2 版本釋出了。Spring Tools 4 是為你量身打造的下一代 Spring 工具,無論你喜歡 Eclipse、Visual Studi

2.2:Linux注意事項

1:Linux嚴格區分大小寫          Linux是嚴格區分大小寫的,這一點和windows不同,所以操作時要注意區分大小寫,包括檔名和目錄名,命令,命令選項,配置檔案設定選項等。 2:Linux中所有內容以檔案形式儲

Java for Web學習筆記(一四一)Spring security準備(2)授權

訪問的範圍和許可權屬於授權。 Principals和Identities 就Java而言,很方便利用java.security.Principal。Principal至少會包含已被認證的使用者identity,例如使用者名稱,還可能有其他資訊。此外還可以保護使用者的授權資

修改和編譯spring原始碼,構建jar(spring-context-4.0.2.RELEASE)

上週在定位問題的時候,發現有個異常是在spring構建bean的時候丟擲的,為了檢視更詳細的資訊,決定修改spring-context-4.0.2.RELEASE.jar中的CommonAnnotationBeanPostProcessor類的程式碼,在裡面打

阿里雲部署redis3.2.100叢集注意事項redis cluster

由於安裝時忘記截圖,只有文字描述了 三臺雲伺服器 兩臺windows 一臺linux 6個redis服務 3主3從 在安全組要開放埠:如6379,伺服器中也要將埠暴露出來 叢集對外的總端 埠+10000,如16379也要開放出來 bind的設定 bind 0.0.0

Spring Security教程(2)----SpringSecurity簡單測試

前面講到了SpringSecurity的簡單配置,今天做一個簡單的測試,先看配置檔案 <?xmlversion="1.0"encoding="UTF-8"?> <beansxmlns="http://www.springframework.org

Log4j 2.x使用注意事項

1、主要元件 a) Logger Hierarchy log4j 1.x中,各個Logger的層級關係都是通過多個Logger來維護的。在log4j 2.x中這種關係將不復存在,取而代之的LoggerConfig物件之間的關係。Logger和LoggerConfig都是一些被命名了的實體,Logger的

關於PCB高頻4層板的一些注意事項-自我

拿到圖紙先檢視*.swp檔案的規格 –> 高度,長度,寬度,板厚 1,  將需求板款Copy到*.pcb, 再一次確認板子邊框,確認無誤後將邊緣線的印絲層轉為keyout層。(ps:需注意檔案的

搭建Spring RabbitMQ訊息服務時的一些注意事項

先貼上一份基於Java配置的RabbitMQ部分的程式碼: @Bean public ConnectionFactory rabbitConnectionFactory() { CachingConnectionFactory co

linux下使用C獲取mp3 ID3資料時的一些注意事項(v1,v2.3,v2.4

最近自己寫了一個獲取ID3資料的函式,剛開始也是在網上找了大量的資料,眾說紛紜,當時我也是被搞得有點暈了,所以現在結合他人的資料把我自己覺得應該注意的地方寫下來。以便以後檢視。 首先科普下mp3幀的知識: MP3檔案是由幀構成,幀是 MP3檔案的最小組成單位。根據幀性質的不

TP升級到3.2.3的注意事項

從TP3.2.2升級到3.2.3有以下幾點需要注意 1 TP3.2.3的DB FIELD預設小寫,如果DB有大小寫混合的設計,需要在config.php新增以下設定 'DB_PARAMS'    =>    array(\PDO::ATTR_CASE => \PD

Android中用命令列檢視內嵌資料庫SQLite3的一些注意事項

進入手機模擬器的shell環境    連線好手機模擬器後,通過Android Studio的Teminal終端直接進入shell環境          adb shell //進入手機模擬器的shell環境 s

關於浮動的一些注意事項

關於浮動:   巨集觀地講,我們的web頁面和photoshop等設計軟體有本質的區別:web頁面的製作,是個“流”,必須從上而下,像“織毛衣”。而設計軟體,想往哪裡畫個東西,都能畫。   行內元素和塊級元素的區別:(非常重要) 行內元素: 與其他行內元素並排; 不能設定寬、高。預設的寬度,

搜尋引擎優化的一些注意事項

4、 評價網站實用性有哪些原則  網站速度 搜尋結果中的點選率 使用者停留時間、訪問時長 使用者跳出率 回頭客的數量 註冊使用者和非註冊使用者的比例 使用者訪問來源分佈 5、什麼是pr值 PR即PageRank,也就是網頁級別

darknet訓練yolov3時的一些注意事項

  訓練需要用到的檔案: 1)       .data檔案。該檔案包含一些配置資訊,具體為訓練的總類別數,訓練資料和驗證資料的路徑,類別名稱,模型存放路徑等。 例如coco.data classes= 80 # 訓練總類別數