spring security 动态管理IP(hasIpAddress)限制爆出异常UnsupportedOperationException

最新推荐文章于 2025-01-03 18:37:12 发布
最新推荐文章于 2025-01-03 18:37:12 发布 · 1.4k 阅读 · 0
文章标签:

#Security #Spring #Java #Web #Access

本文探讨了在使用 Spring Security 的情况下出现 java.lang.UnsupportedOperationException 的原因及解决方法。该问题通常发生在使用 springsecurity 标签时,由于 DefaultWebInvocationPrivilegeEvaluator 的限制导致。 
org.apache.jasper.JasperException: java.lang.UnsupportedOperationException
	org.apache.jasper.servlet.JspServletWrapper.handleJspException(JspServletWrapper.java:541)
	org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:435)
	org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320)
	org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266)
	javax.servlet.http.HttpServlet.service(HttpServlet.java:803)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:343)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:99)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:83)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:109)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:83)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.access.ExceptionTranslationFilter.doFilter(ExceptionTranslationFilter.java:97)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.session.SessionManagementFilter.doFilter(SessionManagementFilter.java:100)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.AnonymousAuthenticationFilter.doFilter(AnonymousAuthenticationFilter.java:78)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter.doFilter(RememberMeAuthenticationFilter.java:119)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter.doFilter(SecurityContextHolderAwareRequestFilter.java:54)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.savedrequest.RequestCacheAwareFilter.doFilter(RequestCacheAwareFilter.java:35)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:188)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:105)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:79)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.session.ConcurrentSessionFilter.doFilter(ConcurrentSessionFilter.java:109)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:149)
	org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:237)
	org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:167)
	com.mawujun.util.SetCharacterEncodingFilter.doFilter(SetCharacterEncodingFilter.java:124)

root cause

java.lang.UnsupportedOperationException
	org.springframework.security.web.access.DummyRequest.getRemoteAddr(DefaultWebInvocationPrivilegeEvaluator.java:359)
	org.springframework.security.web.util.IpAddressMatcher.matches(IpAddressMatcher.java:40)
	org.springframework.security.web.access.expression.WebSecurityExpressionRoot.hasIpAddress(WebSecurityExpressionRoot.java:33)
	sun.reflect.GeneratedMethodAccessor35.invoke(Unknown Source)
	sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:25)
	java.lang.reflect.Method.invoke(Method.java:597)
	org.springframework.expression.spel.support.ReflectiveMethodExecutor.execute(ReflectiveMethodExecutor.java:58)
	org.springframework.expression.spel.ast.MethodReference.getValueInternal(MethodReference.java:76)
	org.springframework.expression.spel.ast.SpelNodeImpl.getTypedValue(SpelNodeImpl.java:102)
	org.springframework.expression.spel.standard.SpelExpression.getValue(SpelExpression.java:97)
	org.springframework.security.access.expression.ExpressionUtils.evaluateAsBoolean(ExpressionUtils.java:11)
	com.mawujun.util.security.CustomWebExpressionVoter.vote(CustomWebExpressionVoter.java:49)
	org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:50)
	org.springframework.security.web.access.DefaultWebInvocationPrivilegeEvaluator.isAllowed(DefaultWebInvocationPrivilegeEvaluator.java:137)
	org.springframework.security.taglibs.authz.AuthorizeTag.authorizeUsingUrlCheck(AuthorizeTag.java:78)
	org.springframework.security.taglibs.authz.AuthorizeTag.doStartTag(AuthorizeTag.java:50)
	org.apache.jsp.permission.accountManager_jsp._jspx_meth_sec_005fauthorize_005f0(accountManager_jsp.java:1049)
	org.apache.jsp.permission.accountManager_jsp._jspService(accountManager_jsp.java:321)
	org.apache.jasper.runtime.HttpJspBase.service(HttpJspBase.java:70)
	javax.servlet.http.HttpServlet.service(HttpServlet.java:803)
	org.apache.jasper.servlet.JspServletWrapper.service(JspServletWrapper.java:393)
	org.apache.jasper.servlet.JspServlet.serviceJspFile(JspServlet.java:320)
	org.apache.jasper.servlet.JspServlet.service(JspServlet.java:266)
	javax.servlet.http.HttpServlet.service(HttpServlet.java:803)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:343)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:99)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:83)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:109)
	org.springframework.security.web.access.intercept.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:83)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.access.ExceptionTranslationFilter.doFilter(ExceptionTranslationFilter.java:97)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.session.SessionManagementFilter.doFilter(SessionManagementFilter.java:100)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.AnonymousAuthenticationFilter.doFilter(AnonymousAuthenticationFilter.java:78)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter.doFilter(RememberMeAuthenticationFilter.java:119)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter.doFilter(SecurityContextHolderAwareRequestFilter.java:54)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.savedrequest.RequestCacheAwareFilter.doFilter(RequestCacheAwareFilter.java:35)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:188)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:105)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:79)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.session.ConcurrentSessionFilter.doFilter(ConcurrentSessionFilter.java:109)
	org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:355)
	org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:149)
	org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:237)
	org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:167)
	com.mawujun.util.SetCharacterEncodingFilter.doFilter(SetCharacterEncodingFilter.java:124)

 

 

原因:是因为在页面上使用了spring security的标签,该标签使用DefaultWebInvocationPrivilegeEvaluator进行判断,要在自己定义的CustomWebExpressionVoter排除这种情况

SpringSecurity配置权限:限制访问
冲出仁川,走出马德里,故事还会再继续
02-19 6663
SpringSecurity配置权限:限制访问1、概述2、基于权限和角色限制访问2.1 基于用户权限限制所有端点的访问2.1.1 项目依赖项:2.1.2 添加一个端点来测试授权配置2.1.3 声明UserDetailsService并指定用户2.1.4 应用hasAnyAuthority方法2.1.5 使用access()方法配置端点访问3、基于用户角色限制所有端点的访问3.1 为用户设置角色3.2 配置应用程序以便只接受来自管理员的请求3.3 测试3.4 使用roles()方法设置角色4、限制对所有端点的
Spring Security 6.x 系列【13】认证篇之会话共享解决方案
记录知识、锤炼自我
04-06 1546
同一个`Web`应用中,当存在多个`Web`服务时,服务端的 `Session `数据需要共享。 在`Spring Security`中默认使用`Session `保存用户认证会话,但是`Session `都是存放在单个`Web`服务器中,如果是集群模式,在一个`Web`服务中认证通过,再请求分发到另外一个`Web`服务时,并没有当前用户的`Session `,则会导致认证失败。
SpringSecurity原理剖析及其实战(五)
weixin_43934626的博客
11-08 1003
SpringSecurity原理剖析及其实战(五)1、用户授权(访问控制)2、基于权限的访问控制3、基于表达式的访问控制4、方法授权5 、授权原理6、授权流程 1、用户授权(访问控制) 什么是授权? 授权的方式常分为两种,web授权和方法授权,web授权是通过url拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用accessDecisionManager进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurity
Security-概述(1)
myli92的博客
05-12 1322
是一个鉴权生成加密token的一个名称权限框架,基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架;可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI。权限框架,可在C/S下运行。shiro是一套权限管理框架,包括认证、授权等,在使用时直接写相应的接口(小而简单的Shiro就足够)Shiro 默认是使用Session认证。一种权限实现标准,是一种安全的授权框架,提供了一套详细的授权机制。用户或应用可以通过公开的或私有的设置,授权第三方应用访问特定资源。
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法
weixin_42642782的博客
02-01 1872
springsecurity的登陆用户信息查询接口的校验或hasIpAddress()用法 一般的微服务架构下,auth服务都是单独的只做token颁发和校验的模块,所以当在进行用户登录或其他操作的时候,都需要调用其他的服务进行用户信息的查询和密码比对。 那么其他服务的这个接口的隐蔽性就会受到挑战。 但是发现在springsecurity的权限控制当中,有一个方法很好用: hasIpAddress() @Value(value = "${auth.address}") private Str
记录Spring Security hasIpAddress()失效的问题
m0_63542293的博客
03-14 746
会被Nginx自动转成http://192.168.1.100:8081/xxx/xxx/xxxxx 所以识别为可以访问的ip。当访问http://192.168.1.100:8080/xxx/xxx/xxxxx 时,查找原因发现是Nginx端口8080指向我本机ip端口8081,导致所有ip都可访问。解决办法是跳过Nginx,直接访问项目的端口即可。在SecurityConfig类中添加如下代码。重启项目后,发现任何ip都可以访问此接口。// 允许访问此接口的ip地址。
SpringSecurity猥琐扩展短信验证码登录
qq_43044376的博客
01-03 1726
项目登录框架用的是SpringSecurity,现要求扩展短信验证码模式,常规方法是实现AbstractAuthenticationProcessingFilter,AuthenticationProvider,AbstractAuthenticationToken。注意OncePasswordEncoderProxy的创建传入的被代理BCryptPasswordEncoder,你原来用的是什么就用什么,不然已有用户是无法完成密码校对的!关于AccountType,这是我封装的类。
SpringSecurity OAuth2 (9) 自定义: 资源服务安全控制策略与动态权限实现
O_o
08-05 2641
本章主要介绍如何在 SpringSecurity OAuth2 下, 实现客户端和用户端两端的动态权限校验.
Spring-Security的Password Encoding
小木公会
01-11 1338
  详细文档参考官方说明https://docs.spring.io/spring-security/site/docs/5.0.9.RELEASE/reference/htmlsingle/#core-services-password-encoding     PasswordEncoder是spring-security的一个接口,主要用于对密码进行编码或加密,它有什么用途呢?说白了就是...
精选资源
java.lang.UnsupportedOperationException异常(csdn)————程序.pdf
12-01
`java.lang.UnsupportedOperationException`是Java中的一个运行时异常,它属于`RuntimeException`的子类。这个异常通常在尝试调用一个不支持的操作时抛出。在Java编程中,某些方法可能在特定对象或特定条件下不支持...
Spring Security】如何设置hasIpAddress及获取客户端请求的IP进行有效配置
yidragon88xx的专栏
08-06 3591
首先第一个问题,设置hasIpAddress的方法为: 在实现WebSeurityConfig配置文件中的WebSecurity部分设置,例如 http.authorizeRequests().antMatchers("/admin/user/getByUserName").access("hasIpAddress('127.0.0.1')... 当通过服务发现方式来调用时,由于客户机可能存在多个网卡的情况,导致这个配置IP不准确的情况,这个时候需要通过Spring Security Web源.
Spring Security添加IP限制功能
MINWH的专栏
05-08 7574
项目中要为SpringSecurity添加IP限制功能,一开始的做法是继承DaoAuthenticationProvider,在additionalAuthenticationChecks方法中使用WebAuthenticationDetails的getRemoteAddress获取客户端IP,然后判断是否需要限制登录。在tomcat上单独部署时,这样做一切正常,当使用apache作为前端代理
Spring Security框架下简单实现远程用户限制IP地址内登录
weixin_34194087的博客
04-01 1735
为什么80%的码农都做不了架构师?>>> ...
spring security 中httpSecurity的方法
秦城诗雨的博客
11-30 4344
spring security 中httpSecurity的方法 authorizeRequests() 开启配置: 一、匹配路径的方法 .antMatchers():表达支持ant风格的路径通配符 .regexMatchers():接受正则表达式来定义请求的路径 二、保护路径的配置方法 .authenticated():表示需要认证,在执行请求时,必须要登录 .permitAll():允许没有任何限制 .access(String springEl):给定的spEl计算为true的话.
Spring Securityspring安全框架(授权总结)
程序员小白
06-15 638
安全框架
SpringBoot集成SpringSecurity(五)授权控制
xinshengdelei的专栏
03-31 898
授权控制 授权包括web授权、方法注解授权。 web授权 SpringSecurity通过http.authorizeRequests()web请求(URL访问)进行授权保护。 一、请求匹配 1、antMatchers("/login","/getver"):匹配到的请求。此时实际上访问这些路径的用户为匿名用户anonymousUser,其权限列表为[ROLE_ANONYMOUS]。 antMatchers中可以添加多个字符串,每个字符串支持?(单个字符)、*(0或任意个字符)、**(0或更多
Spring Security() Spring Security角色权限判断 及 自定义 403  处理方案
奥迪的博客
09-29 2101
一、 角色权限判断 除了之前讲解的内置权限控制。Spring Security 中还支持很多其他权限控制。这些方法一般都用于用户已经被认证后,判断用户是否具有特定的要求。 1 hasAuthority(String) 判断用户是否具有特定的权限,用户的权限是在自定义登录逻辑中创建 User 对象时指定的。 下图中 admin 就是用户的权限。admin 严格区分大小写。 在配置类中通过 hasAuthority(“admin”)设置具有 admin 权限时才能访问。 .antMatcher
springboot 6.0版本,弃用.hasIpAddress()后,如何实现允许指定IP地址访问?(在acwing springboot课程中,实现允许IP:127.0.0.1访问)
weixin_43162683的博客
01-31 733
springboot 6.0版本,弃用.hasIpAddress()后,如何实现允许指定IP地址访问? 以acwing springboot 实现微服务:匹配系统时的SecurityConfig为示例。
SpringSecurity认证过滤器的实现
爱敲键盘的程序源的博客
11-20 603
SpringSecurity认证过滤器的实现
如何在 Spring WebFlux 中自定义 HttpClient 并避免 UnsupportedOperationException
最新发布
06-28
Spring WebFlux 中自定义 `HttpClient` 时,若配置不当或依赖版本冲突,可能会导致 `UnsupportedOperationException` 异常。为了避免此类问题,需要确保使用的 `HttpClient` 实例构建方式与当前项目的依赖版本兼容,并遵循正确的使用模式。 首先,在创建 `HttpClient` 时应使用 `HttpClient.create()` 方法,并结合 `Reactor Netty` 提供的 API 来进行配置。例如: ```java @Bean public HttpClient httpClient() { return HttpClient.create() .secure(ssl -> ssl.sslContext(...)) // 确保 SSL 上下文正确 .proxy(proxySpec -> proxySpec.type(ProxyProvider.ProxyType.HTTP).host("example.com").port(8080)); } ``` 此配置方式允许对连接池、SSL 设置、代理等进行细粒度控制[^1]。然而,如果项目中存在多个不同版本的 `Reactor Netty` 或 `Netty` 库,则可能因类路径冲突而导致初始化失败。为避免这种情况,应在 `pom.xml` 或 `build.gradle` 文件中显式声明 `Reactor Netty` 的版本,并排除其他不兼容的依赖项。 其次,Spring Boot 2.x 及其后续版本默认使用 Reactor Netty 作为底层 HTTP 客户端实现。因此,应确保所选版本与 Spring Boot 主版本保持一致。例如,Spring Boot 2.6.x 推荐使用 Reactor Netty 1.0.x 版本: ```xml <dependency> <groupId>io.projectreactor.netty</groupId> <artifactId>reactor-netty-http</artifactId> <version>1.0.17</version> </dependency> ``` 此外,若项目中包含 Spring Cloud Gateway 或 FeignClient 等组件,也需注意它们与 Spring Boot 和 Reactor Netty 的兼容性关系。例如,FeignClient 在某些版本中可能隐式引入旧版 Netty 组件,从而干扰 WebFlux 的正常运行 [^1]。 最后,启用调试日志有助于进一步诊断 `HttpClient` 初始化过程中的异常来源: ```yaml logging: level: reactor.netty: DEBUG org.springframework.web.reactive.function.client: DEBUG ``` 通过以上方法,可以有效规避 `UnsupportedOperationException`,并在 Spring WebFlux 中安全地自定义 `HttpClient` 实例。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值