spring security login时 报401

最新推荐文章于 2024-04-29 10:51:37 发布
最新推荐文章于 2024-04-29 10:51:37 发布
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: spring security 文章标签: java web.xml postman
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/fsi199773/article/details/84499968
博客指出,在使用Spring Security时,将其配置在web.xml中其他filter之后即可。涉及Spring Security配置与web.xml文件相关信息技术内容。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

将spring security 的配置在web.xml中写在其他filter后面就好了

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(1)—— 初识Spring Security
热门推荐
gmHappy
10-05 2万+
`Spring Security`作为一个功能完善的安全框架,具有以下特性: - **认证(Authentication)**:解决 "你是谁" 的问题,验证系统中是否有这个“用户”(用户/设备/系统),也就是我们常说的“登录”。 - **授权(Authorization)**:权限控制/鉴别,解决的是系统中某个用户能够访问哪些资源,即“你能干什么”的问题。`Spring Security` 支持基于 `URL` 的请求授权、方法访问授权、对象访问授权。
基于spring security框架遇到的401认证错误的定位
疯癫的老码农的博客
04-29 1550
当初对不同的环境划分不同的配置文件,是另外一个同事做的,当他是按照他之前项目的经验和习惯落实到我的这个系统上的。当我给他讲划分配置文件的原则是公共的配置放到application.yml中,不同环境的分别放到各自的配置中,保持每个配置项个数要一致。那个候他给我讲,如果是application-dev.yml、application-sit.yml等配置与application.yml重复配置项,那么会自动覆盖掉的。
spring security+Oauth2密码模式认证401,Unauthorized的问题排查
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header中请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity中的...
SpringBoot Security 访问API始终401
芥末鱿鱼~的博客
10-07 8690
前言 用POSTMAN或者在页面前端登录访问后端API,始终返回401.返回401有很多原因造成的,主要分为两个方面来看:1.配置上的问题,确实没有权限。2.代码上的问题。配置上已经配置了权限,任然无法访问。这里主要讲代码上的问题。 一、 UserDetails实现类里的getAuthorities重写方法,返回null. public class UserDto extends Deepflo...
spring security安全框架继承抽象类WebSecurityConfigurerAdapter后,访问路由仍然401
LJWWD的博客
07-27 745
访问路由401,就说明安全框架自带的登录验证我们还没有取消。 首先需要创建一个类继承抽象类WebSecurityConfigurerAdapter @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.csr
SpringSecurity引进测试401
spring_cainiao的博客
12-02 563
启动的候把Security的自动配置排除
详解spring security 配置多个AuthenticationProvider
08-30
在注册自定义的 AuthenticationProvider ,我们需要使用 Spring SecurityJava 配置方式,而不是 XML 配置方式。我们可以创建一个自定义的 SecurityConfig 类,继承自 Spring Security...
Spring Security 强制退出指定用户的方法
08-27
Spring Security 强制退出指定用户的方法 Spring Security 是一个功能强大且广泛使用的身份验证和授权框架,它提供了许多实用的功能来保护我们的应用程序。但是,在某些情况下,我们需要强制退出指定的用户,例如,...
Spring security如何实现记录用户登录间功能
08-24
Spring Security 记录用户登录间功能实现 Spring Security 框架提供了强大的身份验证和授权功能,然而在实际应用中,我们还需要记录用户的登录间,以便于日后进行登录记录的追踪和分析。在本文中,我们将详细...
解决Spring Security OAuth在访问/oauth/token401 authentication is required
竹林幽深
10-15 3108
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 本文链接:https://blog.csdn.net/u012040869/article/details/80140515 先来张图片 我在用psotman 测试oauth授权码模式的出现了401的异常, 就是调用oauth/toke...
springsecurity 登录失败_Spring Security 实战干货: 401和403状态
weixin_39921131的博客
12-09 1368
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFailureHandler来进行失败后的逻辑处理。今天来谈谈两个和认证授权息息相关的两个状态401和403以及它们如何在Spring Security融入体系中的。2. 401 未授权我在RFC 7235[...
redistemplete请求spring security /oauth/token 401错误,表示没有权限
weixin_47303191的博客
05-22 2150
/oauth/token 这个路径就是为了获取认证中心的token System.out.println("函数进来了"); MultiValueMap<String, String> paramsMap = new LinkedMultiValueMap<>(); paramsMap.put("grant_type", Collections.singletonList("password")); paramsMa
spring security 用户名密码错误返回401页面
weixin_33696822的博客
09-25 2299
因为要在登陆的候增加企业编号验证,自己定义了DisUsernamePasswordAuthenticationFilter类并继承AbstractAuthenticationProcessingFilter这个类,但是运行后发现只要用户名密码错误或者没有权限等其他错误都返回401 -Authentication Failed,如下图:后经过排查发现,在重写Ab...
Spring Security 401和403错误解析及调试:从源码到调试技巧
有来技术
06-18 3659
在使用 Spring Security 进行身份验证和权限控制,经常会遇到 401 和 403 错误。。本文将从源码层面解析 Spring Security 中路径拦截的原理,并分享一些调试技巧。
Spring Security 实战干货: 401和403状态
码农小胖哥
07-27 6081
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
解决Spring Boot 整合Security后,所有接口提示Unauthorized、返回401、 跳转到登陆页面
看山不是山
02-02 9175
SpringBoot只要依赖了Spring Security包后(pom.xml中多了spring-boot-starter-security的jar包),默认就已经开启了权限验证,如果当前工程是不需要纳入权限管理的话,就可以直接禁用掉Security的认证。下面是方法: Spring Boot 2.x和Spring Security 5.x前禁用认证 在application.yml或...
Spring 401、404、405、500 整合 LoginInterceptor
Faith, Simpleness, Transparency, Innovation
07-03 312
g/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/maven-v4_0_0.xsd"&gt; &lt;modelVersion&gt;4.0.0&lt;/modelVersion&gt; &lt;groupId&gt;org.
Spring Security OAuth2 授权失败(401)
诚的博客
07-06 6547
Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考 http://www.ruanyifeng.com/blog/2014/05/oauth_2_0.html 项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是最好的方式)
springsecurity login原理
最新发布
06-26
### 登录认证原理及流程解析 Spring Security 的登录认证机制是通过多个关键组件协同工作来实现的,其核心目标是对用户身份进行验证,并在验证成功后赋予相应的访问权限。整个流程涉及多个过滤器和接口,确保请求的安全性和合法性。 #### 认证流程概述 1. **用户提交登录信息**:当用户尝试登录,通常会向 `/login` 发送一个包含用户名和密码的 POST 请求。这个请求会被 `UsernamePasswordAuthenticationFilter` 拦截并处理 [^2]。 2. **封装认证令牌**:该过滤器会从请求中提取用户名和密码,并将其封装为 `UsernamePasswordAuthenticationToken` 对象。此,这个对象的认证状态是未认证(即 `authenticated=false`)[^5]。 3. **触发认证管理器**:接下来,系统调用 `AuthenticationManager` 来执行实际的认证逻辑。`AuthenticationManager` 会遍历所有注册的 `AuthenticationProvider`,寻找能够处理当前类型的认证请求的提供者。例如,在基于数据库的认证场景下,`DaoAuthenticationProvider` 会被用来验证用户的凭据是否正确 [^1]。 4. **加载用户详细信息**:一旦找到合适的 `AuthenticationProvider`,它会使用 `UserDetailsService` 接口从数据源中加载用户的详细信息。`UserDetailsService` 是一个非常重要的接口,开发者可以通过实现它来自定义如何获取用户数据 [^1]。 5. **完成认证过程**:如果提供的凭证与加载的用户信息匹配,则创建一个新的 `UsernamePasswordAuthenticationToken` 实例,其中包含了完整的用户信息以及授予的权限列表,并且设置为已认证(`authenticated=true`)。然后,这个经过认证的对象将被返回给最初的调用方 [^5]。 6. **存储安全上下文**:最后,`SecurityContextPersistenceFilter` 负责将更新后的 `Authentication` 对象保存到 `SecurityContext` 中。这样,在后续的请求中就可以通过 `SecurityContextHolder` 获取当前用户的认证信息 [^3]。 #### 安全上下文的作用 - **SecurityContextRepository**:用于持久化存储 `SecurityContext`,默认情况下使用 HTTP Session 来保持状态 [^3]。 - **SecurityContextHolder**:提供了对当前线程的 `SecurityContext` 的访问能力,默认采用 ThreadLocal 技术来保证每个线程都有独立的上下文实例 [^4]。 #### 关键概念总结 - **匿名认证**:对于未登录的用户,`AnonymousAuthenticationFilter` 会为其分配一个匿名身份,允许一定程度上的资源访问 [^2]。 - **异常处理**:任何认证或授权失败都会被捕获并通过 `ExceptionTranslationFilter` 处理,可能的结果包括重定向到登录页面或者直接返回错误响应码 [^2]。 - **最终授权决策**:`FilterSecurityInterceptor` 利用 `AccessDecisionManager` 来决定用户是否有权访问特定资源 [^2]。 ```java // 示例代码 - 自定义 UserDetailsService 实现 @Service public class CustomUserDetailsService implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if (user == null) { throw new UsernameNotFoundException("User not found"); } return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), getAuthorities(user)); } private Collection<? extends GrantedAuthority> getAuthorities(User user) { // 将用户的角色转换为 Spring Security 所需的 GrantedAuthority 集合 return user.getRoles().stream() .map(role -> new SimpleGrantedAuthority(role.getName())) .collect(Collectors.toList()); } } ``` ```java // 示例代码 - 配置自定义的 AuthenticationProvider @Configuration @EnableWebSecurity public class SecurityConfig { @Autowired private CustomUserDetailsService customUserDetailsService; @Bean public AuthenticationProvider authenticationProvider() { DaoAuthenticationProvider provider = new DaoAuthenticationProvider(); provider.setUserDetailsService(customUserDetailsService); provider.setPasswordEncoder(passwordEncoder()); return provider; } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); return http.build(); } } ``` 上述配置展示了如何集成自定义的 `UserDetailsService` 和 `AuthenticationProvider` 到 Spring Security 的认证流程中。此外,还演示了基本的表单登录配置以及注销功能的支持。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值