吐槽spring security 3.2 框架

最新推荐文章于 2025-11-25 12:11:25 发布
最新推荐文章于 2025-11-25 12:11:25 发布 · 158 阅读 · 0
文章标签:

#java

本文探讨了Spring Security中form-login组件缺乏Post-only属性配置的问题,并对UsernamePasswordAuthenticationFilter源码进行了解析。同时,作者提出了为何未提供FilterInvocationSecurityMetadataSource配置的疑问。

在实际应用中觉得spring security的命名空间缺少两个元素:<!--[endif]-->

form-login 没有Post-only属性的配置哭,而UsernamePasswordAuthenticationFilter 源码中post默认为true

public class UsernamePasswordAuthenticationFilter extends

AbstractAuthenticationProcessingFilter {

public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "j_username";

public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "j_password";

 

@Deprecated

public static final String SPRING_SECURITY_LAST_USERNAME_KEY = "SPRING_SECURITY_LAST_USERNAME";

private String usernameParameter = "j_username";

private String passwordParameter = "j_password";

private boolean postOnly = true;


 

why  http 中提供了FilterSecurityInterceptor的accessDecisionManager和authenticationManager的配置,而不提供FilterInvocationSecurityMetadataSource的配置??


 

iteye_935
关注
SpringBoot集成SpringSecurity5和OAuth23、基于数据库的OAuth2认证服务器_springboot oauth 客户端模式使用数据库
2401_84263208的博客
04-18 478
/允许客户端使用表单方式发送请求token的认证(因为表单一般是POST请求,所以使用POST方式发送获取token,但必须携带clientId,clientSecret,否则随便一请求过来验token是不验的)//默认允许获取token,但是需要授权后才能获取到 ,所以可以去掉 tokenKeyAccess()//如果保存在中间件(数据库、Redis),那么资源服务器与认证服务器可以不在同一个工程中。//“oauth/check_token"是校验token的地址。alibaba 数据连接池。
大模型应用开发:Prompt工程方法论与Spring AI最佳实践(一)
q527470061的博客
04-24 1185
Prompt是我们唯一可以和LLM交互的方式。应用层的一切技术架构——无论多复杂的记忆机制、知识检索或交互设计等,本质上都在服务于一个目标:构建一个能够完成特定任务的高质量Prompt。这就要求我们能够在LLM上下文长度的限制下,将当前任务最相关的指令、知识、历史对话等核心信息,以最优结构注入Prompt,从而激活LLM的预期能力。
Spring Security问题汇总
热门推荐
夜空中最亮的星
06-04 1万+
1、使用Spring Security实现权限管理 http://hotstrong.iteye.com/blog/1160153
spring security 3.2 pom配置
极客on之路
11-18 3233
3.2.0.RELEASE org.springframework.security spring-security-web ${org.springframework.security.version} org.springframework.security spring-security-config ${org.spring
Spring Security4的配置,以及一些吐槽.(一)
ck-wizard的学习之路
07-03 2251
我有一本参考书,是>第四版,虽然是一本关于实战的书,但是作者鼓励开发者采用注解的形式去做配置, 我一开始也是觉得很酷,毕竟0配置,对于我们来说是一种挑战,也是一种冲刺吧.但在实际配置中,却有很多的坑需要踩,踩 得你怀疑人生,书上说的东西虽然大多数在3.2以上就得到了实现,但是并不是所有类实际在3.2以上就得到了支持,采用纯 注解的配置简直就是在跟自己过不去,有这个时间,我都可以多看几章书去了
史上最烂 spring security 原理分析
后端为主,前端为辅。
08-07 1184
spring security 简介、核心组件、初始化流程、认证初始化、授权初始化、认证流程、授权流程  spring security一个。。。巴拉巴拉一大堆。其和 shiro 怎么怎么样。。。又巴拉巴拉一大堆。  spring security 核心组件主要由 SecurityBuilder、Security Exception、Authenticate、Authorize、Authentication、SecurityContext、SecurityContextHolder、SecurityCo
SpringCloud入门之项目实例
翰萨姆的博客
12-25 1405
SpringCloud 版本: Hoxton SR6 1.什么是微服务 官网: https://www.martinfowler.com/articles/microservices.html In short, the microservice architectural style is an approach to developing a single application as a suite of small services, each running in its own proc
SpringBoot响应式编程(2)WebFlux入门
qq_62377885的博客
08-14 2379
在 Servlet3.0 之前,Servlet 采用 Thread-Per-Request 的方式处理 Http 请求,即每一次请求都是由某一个线程从头到尾负责处理。如果一个请求需要进行 IO 操作,比如访问数据库、调用第三方服务接口等,那么其所对应的线程将同步地等待 IO 操作完成, 而 IO 操作是非常慢的,所以此时的线程并不能及时地释放回线程池以供后续使用,如果并发量很大的话,那肯定会造性能问题。
java后端程序员1年工作经验总结
m0_67788957的博客
03-22 2165
java后端1年经验和技术总结(1) 1.引言   毕业已经一年有余,这一年里特别感谢技术管理人员的器重,以及同事的帮忙,学到了不少东西。这一年里走过一些弯路,也碰到一些难题,也受到过做为一名开发却经常为系统维护和发布当救火队员的苦恼。遂决定梳理一下自己所学的东西,为大家分享一下。   经过一年意识到以前也有很多认识误区,比如:   偏爱收集,经常收集各种资料视频塞满一个个硬盘,然后心满意足的看着容量不行动。   不重基础,总觉得很多基础东西不需要再看了,其实不懂的地方很多,计算机程序方面任何一个
Java后端程序员3年工作经验总结
qq_41233492的博客
11-03 1375
1.引言 工作已经3年有余,这3年里特别感谢技术管理人员的器重,以及同事的帮忙,学到了不少东西。这3年里走过一些弯路,也碰到一些难题,也受到过做为一名开发却经常为系统维护和发布当救火队员的苦恼。遂决定梳理一下自己所学的东西,为大家分享一下。 经过3年意识到以前也有很多认识误区,比如: 偏爱收集,经常收集各种资料视频塞满一个个硬盘,然后心满意足的看着容量不行动。 不重基础,总觉得很多基础东西不需要再看了,其实不懂的地方很多,计算机程序方面任何一个结果都必有原因,不要只会用不知道原理,那是加工厂出来的。
零基础SSM入门教程(9)--拜托你大声怒斥我的名字(bean的命名非常重要)
编程副队长
01-23 821
我的名字 今年听到一首很好听的歌曲《我的名字》,曲风轻松动感,词写得也很有意味: 拜托你大声怒斥我的名字 我要赌气向远方跑去 如果没有这些声音 我还搞不清 多远才算是离开的距离 人如其名,不论是对现实中的人,还是程序世界中的变量、方法、类、对象的命名,都是非常重要的。 在我不算短暂却也基本不辉煌的程序生涯中,我惊奇的发现命名规范且舒畅对项目开发至关重要!如果在一个项目开发过程中能做到对变量、方法...
Spring Security 3.2.x 配置
pyzheng的专栏
06-15 318
使用 Spring Security 保护 Web 应用的安全 [url]http://www.ibm.com/developerworks/cn/java/j-lo-springsecurity/[/url] SpringSecurity方法层4种方式使用 [url]http://blog.csdn.net/wyabc1986/article/details/8424688[/url] [c...
Spring Security配置JSON登录
weixin_34409822的博客
07-31 473
spring security用了也有一段时间了,弄过异步和多数据源登录,也看过一点源码,最近弄rest,然后顺便搭oauth2,前端用json来登录,没想到spring security默认居然不能获取request中的json数据,谷歌一波后只在stackoverflow找到一个回答比较靠谱,还是得要重写filter,于是在这里填一波...
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 765
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核心功能模块,实现企业物资管理的全流程数字化。
2025最新 SpringCloud 教程,Nacos-总结,笔记19
最新发布
Rockandrollman的博客
11-25 110
2025最新 SpringCloud 教程,Nacos-总结,笔记19
Java原生网络编程-BIO与NIO
照母山挖洋芋
11-24 745
摘要:本文对比了Java原生JDK中的BIO(阻塞I/O)和NIO(非阻塞I/O)网络编程模型。BIO采用"一连接一线程"模式,存在线程资源浪费和性能瓶颈问题,可通过线程池优化为伪异步I/O模型。NIO通过Selector、Channel和Buffer三大核心组件实现非阻塞通信,支持单线程管理多个通道。重点介绍了NIO的Reactor模式、事件类型(OP_READ/OP_WRITE等)及服务端/客户端的不同关注点,展示了NIO相比BIO在高并发场景下的优势。(149字)
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 552
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核心组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
.NET三层架构打造在线吐槽平台
当我们将.NET框架与三层架构结合起来开发一个吐槽网时,我们需要考虑以下知识点: 1. 表示层设计:在.NET中,常见的表示层技术包括ASP.NET Web Forms和ASP.NET MVC。吐槽网的登录、查看、发布、评论、点赞等功能...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值