关于使SpringSecurity登录参数使用requestBody后引发的一系列问题及解决

最新推荐文章于 2024-09-11 21:45:49 发布
原创 最新推荐文章于 2024-09-11 21:45:49 发布 · 1.3k 阅读 · 3 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文详细讲述了如何在SpringSecurity中修改默认的url参数登录方式,实现从requestBody接收JSON数据进行认证,并修复单点登录失效的问题,最终通过创建自定义配置器来确保登录过滤器生效。

之前写了一篇SpringSecurity整合Redis实现单点登录及认证返回json数据,这个本来只是作为先来学习的总结笔记,但最近终于有用武之地了。
公司新项目成立,我临危受命负责web端项目的搭建和开发,安全框架选型正是SpringSecurity。但SpringSecurity登录操作默认的参数形式是url参数(就是http://xx.xx.xx:xx/login?username=xx&password=xx这样),我们需要将参数放到requestBody中,于是

登录参数放到requestBody中


经过一通盲试,并没有找到通过配置实现这种需求的方法,于是我决定面向百度编程。网上的资料没有想象的多,但是还是找到了解决办法。
我发现负责登录认证的filter类名称为UsernamePasswordAuthenticationFilter,其关键代码如下: 

@Override
	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
			throws AuthenticationException {
   
   
		if (this.postOnly && !request.getMethod().equals("POST")) {
   
   
			throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
		}
		String username = obtainUsername(request);
		username = (username != null) ? username : "";
		username = username.trim();
		String password = obtainPassword(request);
		password = (password != null) ? password : "";
		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);
		return this.getAuthenticationManager().authenticate(authRequest);
	}

	@Nullable
	protected String obtainPassword(HttpServletRequest request) {
   
   
		return request.getParameter(this.passwordParameter);
	}

	@Nullable
	protected String obtainUsername(HttpServletRequest request) {
   
   
		return request.getParameter(this.usernameParameter);
	}

我们可以看到,这个类获取参数的方式,就是getParameter,所以基本上我们只要重写obtainPassword和obtainUsername方法就能满足我们的需求了,如果还想丰富一下,那直接重写attemptAuthentication就好了,我选择的是后者,代码如下:

@Slf4j
public class CustomAuthenticationProcessingFilter extends UsernamePasswordAuthenticationFilter {
   
   
    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
   
   
        try {
   
   
            String bodyString = getBodyString(request);
            if (!StringUtils.hasText(bodyString)) {
   
   
                throw new IllegalArgumentException("用户名或密码不能为空");
            }
            Map<String, Object> map = new JacksonJsonParser().parseMap(bodyString);

            if (!request.getMethod().equals("POST")) {
   
   
                throw new AuthenticationServiceException("不支持该方法: " + request.getMethod());
            }
            String username = obtainUsername(map);
            username = username.trim();
            if (!StringUtils.hasText(username))
最低0.47元/天 解锁文章
Spring第一讲:谈谈你对Spring的理解?从该问题着手深入解析Spring/Spring5新特性
Jet_qi的博客
12-27 1953
谈谈你对Spring的理解? 深入解析spring框架 摘要:面试时常常被面试官问到这个问题,题目太大了,我会从Spring架构/bean初始化流程/bean生命周期/设计模式这几个方面来回应面试官。spring框架中的核心技术:控制反转/依赖注入/面向切面编程/spring的声明式事务/以及spring生态相关产品的简介,我会在这篇文章中详细说明。 1、什么是Spring? (在servle..................
spring框架学习 - Spring MVC 之 DispatcherServlet 补充 及 过滤器
TyuIn的博客
12-24 685
接上一篇博客:https://blog.youkuaiyun.com/qq_43605444/article/details/122123699?spm=1001.2014.3001.5502 1.7 拦截 所有 HandlerMapping 实现都支持处理程序拦截器,当您希望将特定功能应用于某些请求 — ,例如,检查主体时,这些处理程序拦截器非常有用。 拦截器必须从 org.springframework.web.servlet 包中实现 HandlerInterceptor 和三个方法,这些方法应该提供足够的灵活性
Spring Security-6:登录使用 body JSON 传参
github_39436025的博客
12-01 2009
更多内容欢迎访问我的个人 Java 站点:开坑组-Java站 前言 之前的5个篇章基本上能完成一个登录模块,这篇我们介绍下如何在 body 中使用 JSON 来传参调用登录接口,后续还会再补充下登出逻辑。 1. 添加工具类 工具类中添加用于从 HttpServletRequest 中获取参数的方法 package com.example.security.utils; import com.fasterxml.jackson.databind.ObjectMapper; import lombok.e
Springboot Security 认证鉴权——使用JSON格式参数登录
HD243608836的博客
05-09 3711
在 中,默认的登陆方式是以表单形式进行提交参数的。可以参考前面的几篇文章,但是在前后端分离的项目,前后端都是以 JSON 形式交互的。一般不会使用表单形式提交参数。所以,在 中如果要使用 JSON 格式登录,需要自己来实现。那本文介绍两种方式使用 JSON 登录。1. 通过源码分析可以知道(打断点,往前捋),登录参数的提取在 过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。 的源代码如下:重写其中的attemptAuthentication方法,默认表单认证,需要修改为兼
SpringSecurity------ Username/Password Authentication(九)
豢龙先生
06-18 2724
最常见的用户身份认证就是使用用户名密码,Spring Security使用用户名和密码进行身份验证提供了全面的支持。 Spring Security提供了以下内置机制来从HttpServletRequest读取用户名和密码 (1)在未经过认证的情况下向/private发送了一个请求(2)FilterSecurityInterceptor通过抛出AccessDeniedException异常通知应用程序拒绝未经身份验证的请求(3)由于检测到用户没有经过身份认证,ExceptionTranslationFil
Spring Security配置放行请求,将参数放置于请求体时放行失效
mikeguo's blog
06-25 2960
配置如下: @Override public void configure(WebSecurity webSecurity){ //配置免登陆接口 webSecurity.ignoring().antMatchers( "/login/bypassword" // 登陆相关 //这里还有许多,为说明问题,把其他的都删掉了 ); } 可是就是这个请求,将参数使用问号拼接时这个配置正常,但是当将参数
Spring Security--自定义登录参数
我和井盖都笑了博客
04-04 2254
   1源码简介       当进行登录时会执行 UsernamePasswordAuthenticationFilter 过滤器。 usernamePasrameter:账户参数名 passwordParameter:密码参数名 postOnly=true:默认情况下只允许 POST 请求。 &nbs...
SpringSecurity认证授权
最新发布
qq_49474843的博客
09-11 1524
RBAC模型详解,SpringSecurity入门到精通一文搞定
Spring Cloud Gateway系列【5】GatewayFilter网关过滤器详解
asdfadafd的博客
08-02 1838
SpringCloudGateway中的Filter分为两种类型,分别是GatewayFilter和GlobalFilter。过滤器将会对请求和响应进行处理.。比如添加参数、URL重写等。是一个接口,其有很多实现类,这是SpringCloudGateway已经提供了的,使用的时候只需要在yml中配置即可。...
Spring SecurityRequestRejectedException
qq_43082721的博客
01-05 555
处理 Spring Security RequestRejectedException 异常
springSecurity 实现传参
11-04
springSecurity 实现登陆验证、传参,包括源代码和MYSQL的建库脚本。 传参的功能可以实现记录登陆之前打开的页面,登陆之后自动跳转到之前打开的页面。
文件上传设置上传文件大小
aijian6549的博客
10-18 507
控制台报错 org.apache.tomcat.util.http.fileupload.FileUploadBase$SizeLimitExceededException: the request was rejected because its size (47924276) exceeds the configured maximum (10485760) at o...
springSecurity登录的全过程
XuDream的博客
08-12 3486
整个流程就是:进入接口—>进行验证—>获取用户信息—>创建token—>存入redis—>返回/*** 自定义权限实现,ss取自SpringSecurity首字母*/*** 所有权限标识/*** 管理员角色权限标识/*** 验证用户是否具备某权限** @param permission 权限字符串* @return 用户是否具备某权限System . out . println("拥用这个权限才能通过" + permission);...
解决后端Springboot前端Vue项目整合SpringSecurity后POST提交使用@requestBody接收不到实体类参数报出跨域的问题
北暖的博客
08-13 1973
一、问题说明 后端使用的是Springboot,前端使用的是Vue框架,在没有整合SpringSecurity的时候是可以顺利接收参数的。 在加入SpringSecurity之后前端发送POST强求,后端使用@RequestBody注解无法接收到实体类参数。浏览器一直在报跨域的问题 二、代码 1.已经加入SpringSecurity的配置 2.后端接收参数截图 3.前端传参截图 4.报错截图(已经解决跨域问题) 三、解决办法 1、在SpringSecurity的配置方法加上这个配置 2、加上解决
Spring注解@RequestBody使用
u800820的专栏
05-31 1230
Postman发送json请求 通常,我们使用Postman发送json请求去测试RestApi.如下图示例. ​ 发送过来的json字符串后端如何解析呢?这就用到了@RequestBody注解。 @RequestBody 注解@RequestBody一般用于接收来自Request Body(即请求体)中编码格式为application/json或者application/xml的请求参数;后端接收参数上加上此注解,即可解析出来。 使用实体类参数接收 前端发送过来的json字符串,后端可以根据业务场景的含义
spring security实现传参
brushli的专栏
11-04 5309
本人现在开发的项目中用到了spring security,但只能传递两个
解决异常: SSL peer shut down incorrectly原因
qq_25203921的博客
09-15 3281
解决异常: SSL peer shut down incorrectly原因
解决@RequestBody失效
m0_73770897的博客
11-16 3815
解决@RequestBody失效和Jackson415错误
spring security请求跨域解决办法+前端发送post请求,body为null
Gentleaman的博客
06-29 706
前端用的是uniapp 因为我们是前后端分离的项目,在我写完登录接口,开始前后端联调的时候发现了问题解决起来也是十分方便。 在配置类中加上以下的配置即可 http.cors().configurationSource(corsConfigurationSource()); @Bean CorsConfigurationSource corsConfigurationSource() { CorsConfigurationSource source = new Ur
Spring Security 实现单终端登录:自动踢除前一个用户
这篇文章提供了一个简洁且实用的方法,帮助开发者在Spring Security环境中轻松实现自动踢掉前一个登录用户的功能,适用于多种场景,并结合了先前文章中关于Spring Security的基础知识,为读者提供了完整的解决方案。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值