Spring Security 4.2注意事项

最新推荐文章于 2023-12-11 20:44:07 发布
原创 最新推荐文章于 2023-12-11 20:44:07 发布 · 1.3k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security

从 Spring Security 3.2.6.RELEASE 升级到 4.2.3.RELEASE 时遇到一些问题,包括 ifAnyGranted 标签替换、登录表单字段名变化、CSRF 保护调整以及角色前缀修改。解决方法包括使用 <sec:authorize access="hasAnyRole()"> 替换 ifAnyGranted,调整登录表单字段,关闭或配置 CSRF 保护,并通过设置 GrantedAuthorityDefaults 和 RoleVoter 的 rolePrefix 属性来改变角色前缀。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Spring Security 3.2.6.RELEASE 升级到 4.2.3.RELEASE 踩了些坑,记录一下:

1、ifAnyGranted标签取消,使用<sec:authorize access="hasAnyRole('ROLE_ADMIN','ROLE_USER')">代替。

2、登录表单字段名修改:

j_username -> username

j_password -> password

_spring_security_remember_me -> remember-me

3、登陆后出现 Could not verify the provided CSRF token because your CSRF session was not found
这是因为spring security为了防止跨站请求做的.如果需要关闭那么在security:http下添加一个子标签<security:csrf disabled="true" />

4、Spring Security中角色前缀rolePrefix默认为“ROLE_”,如果要修改的话Spring Security 3 只需要实例化RoleVoter时设置rolePrefix属性即可,升级后发现标签access="hasAnyRole('A_ADMIN','A_USER')"失效,调试发现Spring Security 4.2 中还需要实例化org.springframework.security.config.core.GrantedAuthorityDefaults并设置rolePrefix属性,该

最低0.47元/天 解锁文章

200万优质内容无限畅学
后端领域Spring Security的性能调优秘籍
架构师的AI之路,分享AI应用开发架构的学习与实践。
07-13 453
作为Spring生态的"安全门神",Spring Security守护着无数后端系统的边界。但在高并发场景下,默认配置往往会暴露性能短板——比如每次请求都重复查询数据库认证、冗余的过滤器链处理、有状态会话占用过多内存等。本文将结合生活化比喻代码示例和实际案例,拆解Spring Security的性能瓶颈根源,分享5个可落地的调优策略(认证缓存、过滤器链精简、无状态会话、密码强度平衡、并发控制),帮你实现"安全与性能的双赢"。无论是电商系统的高并发认证需求,还是API服务的低延迟要求,都能从本文找到解决思路。
SpringSecurity OAuth2.0 尚硅谷学习笔记
最新发布
weixin_47199727的博客
07-02 1280
SpringSecurity和OAuth2.0的基本运用
spring整合security4.2完整实例
08-08
spring4.3.18 整合security4.2.7 springdata 完整项目实例
SpringSecurity自定义用户认证逻辑(二)
ZhuPengWei_
12-23 3745
根据上一节的配置,默认在服务开启的时候会被要求自动的进行表单登陆。用到的用户名只能是一个固定的用户名user,它的密码是每次启动的时候服务器自动生成的。最常见的场景是我们的用户是从数据库中获取的。 处理用户信息获取逻辑/** * 自定义用户逻辑 * Created by ZhuPengWei on 2017/11/27. */ @Component public class MyUserDe
spring-security4.2实现登录退出以及权限配置
还想听你的故事
07-25 4589
最近用到了spring-security框架来实现登录验证。 以前做登录的步骤是: 1、用户输入用户名、密码登录 2、连接数据库对用户名、密码进行验证 3、获取用户信息(角色列表等等) 4、获取相关操作权限 security安全框架有点不同: 1、用户名、密码组合生成一个AuthenticationToken对象。 2、生成的这个token对象会传递给一个Authenticati
spring security4.2 配置CSRF防御
Vevinlong的博客
08-03 5658
spring security4.2 配置CSRF防御 注:源文请参考官方手册 最经项目用到csrf,看了官方文档后,结合实际开发过程,记录下所遇到的问题,其中第1、2、3点都没有什么问题。而是在使用文件上传时遇到问题,查了比较久的时间,从怀疑xhr对象,到跨域访问(用到的插件动态创建了一个iframe),最终发现是当form设置了enctype="multipart/form-data"之后,
spring security4.2.3 登录权限资源控制框架
wangernb的博客
10-09 650
1. 原理:使用众多的拦截器对url拦截,以此来管理权限。但是这么多拦截器,笔者不可能对其一一来讲,主要讲里面核心流程的两个。 首先,权限管理离不开登陆验证的,所以登陆验证拦截器AuthenticationProcessingFilter要讲; 还有就是对访问的资源管理吧,所以资源管理拦截器AbstractSecurityInterceptor要讲; 但拦截器里面的实现需要一些组件来实现,所以就有...
Spring security 官网说明文档(英文版)
10-28
从 3.x 版本迁移到 4.0 需要注意以下事项: - 更新依赖库至最新版本。 - 调整代码以适应新的 API 设计。 - 检查文档中关于迁移指南的部分,确保遵循最佳实践。 #### 三、Java 配置 Spring Security 4.0 支持使用 ...
Spring security 4 帮助文档(英文版)
05-06
迁移到 Spring Security 4.0 需要注意以下事项: - **API 变更**:了解新的 API 设计和命名约定。 - **配置更改**:检查配置选项的变化。 - **依赖项更新**:确保所有依赖库都是最新的。 #### 三、Java 配置详解 ...
Spring Security 4.2.2 一些注意事项
博客
03-05 7515
1.配置文件中的http标签变为security:http 2.security:http上的属性use-expressions="false",如果未这么声明,那么在子节点中security:intercept-url的access中直接使用角色名,则会报错 Field or property 'ROLE_USER' cannot be found on object of type
Spring-Security笔记5 去除spring-security默认的权限前缀ROLE
杨毅的专栏
03-01 8807
spring-security默认的权限前缀ROLE_,使用的时候较为不便使用自定义的accessDecisionManager注入roleVoter,修改roleVoter中的rolePrefix属性为“”可以解决此问题&lt;!-- 注入 roleVoter修改rolePrefix,否则Spring要求权限必须以ROLE_开头 --&gt; &lt;bean id="accessDecisio...
备忘录 - Spring Security 4.x
The Hot Java
05-06 225
  引用资料 Spring Security 中文 Spring Security 项目 博客 Spring Security 认证架构 博客 Spring Security 专栏 说明 本文适用于对 Spring Security 进行源码分析,里面都是按照我自己源码分析流程写的,是顺着源码分析思路阐述的,所以不会有很多结论性的文字(要看总结性文字的可以参考其他博客,这里需要自己去...
SpringBoot与安全SpringSecurity
zhouth94的博客
06-11 275
一、安全 Spring Security是针对Spring项目的安全框架,也是Spring Boot底层安全模块默认的技术选型。他可以实现强大的web安全控制。对于安全控制,我们仅需引入spring-boot-starter-security模块,进行少量的配置,即可实现强大的安全管理。 几个类: WebSecurityConfigurerAdapter:自定义Security策略 AuthenticationManagerBuilder:自定义认证策略 @EnableWebSecurity.
spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效
chengzhui0990的博客
01-19 928
问题:spring security 标签 <sec:authorize access=""> 有效,<sec:authorize url=""> 无效 解决办法: <!-- 把下面定义的 bean 放到所有 http 标签之前 --> <bea...
2535-springsecurity系列--关于授权角色“ROLE”前缀的问题
zzxx1994617的博客
07-24 6788
版本信息 &lt;parent&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-parent&lt;/artifactId&gt; &lt;version&gt;1.5.14.RELEASE&lt;/version&gt
新版Spring Security6.2架构 (三) - Authorization
喝醉的鱼博客
12-11 3052
新版Spring security 6.2,官网文档Authorization翻译和一点点个人修改
Spring Security授权架构介绍
lifetime_gear的博客
10-30 589
介绍Spring Security的授权架构,仅包含架构与部分组件介绍,无实际应用案例。
springsecurity4.2入门完整实例
feinifi的博客
09-08 9465
1、构建maven项目,引入springsecurity相关依赖。 项目结构如下: pom.xml配置文件主要部分: &lt;properties&gt; &lt;spring.version&gt;4.2.0.RELEASE&lt;/spring.version&gt; &lt;/properties&gt; &lt;dependencies&gt; ...
security:authorize access="hasRole('ADMIN')"报500错误
weixin_42613538的博客
10-24 2435
前端报错信息: type Exception report message org.apache.jasper.JasperException: An exception occurred processing JSP page /pages/aside.jsp at line 44 description The server encountered an internal error t...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值