spring security踩坑记录(web.ignoring不生效、无法@Autowired注入其他组件)

最新推荐文章于 2024-08-14 11:15:09 发布
最新推荐文章于 2024-08-14 11:15:09 发布
阅读量5.8k 收藏 9
点赞数 5
分类专栏: 开发错误 好文 && 经验 文章标签: java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/luansha0/article/details/119643666
版权
本文记录了在使用Spring Security 1.5.10版本时遇到的两个问题:1) web.ignoring配置不生效;2) 自定义过滤器中@Autowired注解无法注入其他组件。解决方案分别为:自定义过滤器不应作为bean注入;通过构造器在Spring Security配置中注入所需依赖。内容基于作者的实践经验和搜索结果推测。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

spring Security版本:1.5.10

1、spring Security的web.ignoring不生效:

原因分析: 自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。

解决办法: 自定义过滤器不能以bean的形式注入spring IOC,交给容器管理,检查自定义过滤器是否有以@bean、@component、@configuration的形式注入到spring IOC容器,如果有去掉即可。

2、自定义过滤器无法@Autowired注入其他组件:

原因分析: 搜索得知

  1. 在bean初始化之前加载过滤器,所以无法注入。
  2. 自定义过滤器无法以Bean或者组件的形式注入到spring IOC容器,这样会导致问题1,

解决方法: 在spring Security的config中通过构造器注入需要的方法。

以上方法并为通过源码验证,属于个人根据搜索结果的推测,并在代码中得以验证,如有不对的地方,欢迎指正

自定义过滤器MyFilter.java

public class MyFilter implements Filter {

    private static final Logger log = Logger
最低0.47元/天 解锁文章
SpringSecurity 6.0.0版本配合Tomcat10,websecurity.ignoring全局忽略路径匹配失败问题,详解。该解决方案适用于SpringSecurity各个版本。
梦一样的博客,神话般的感觉
04-02 2214
SpringSecurity 6.0.0版本配合Tomcat10,ignoring忽略路径匹配失败问题,详解。该解决方案适用于SpringSecurity各个版本。 背景: 由于工作原因,尝试了一下(之前一直使用Shiro,这也是第一次接触SpringSecurity)SpringSecurity还未发布的主线版本。SpringSecurity6.0.0的主线版本使用的是Spring-framework6.0.0未发布的版本。而对于Spring-framework6.0.0这个版本,已经放弃jdk11开始
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity web.ignoring()不起作用分析
c630843901的博客
07-25 1707
虽然在WebSecurity.ignoring().antMatchers()中配置了自己要放行的地址,但是我定义了自定义的过滤器。然而自定义过滤器交给了spring IOC管理,所以你在spring Security的config无论怎么配都会走到自己的过滤器。请注意如若只在自己的过滤器中设置白名单还不行,因为请求还会走SpringSecurity的过滤器链,必须两边都配置。如果只想配置一边,可以在自己过滤器放行请求时,直接给本次请求设置一个默认的认证身份。
一文解决Security中访问静态资源和web.ignoring()和perimitAll()不起作用
CoSword
03-28 8186
微人事的InsufficientAuthenticationException解决
Spring Security 5.x 配置ignoring不生效问题(已解决)
一米阳光给的温暖
10-25 687
webSecurity中忽略路径,但是仍然会被Spring Security过滤器拦截到。解决方案是不要将自定义过滤器交给Spring管理,也就是移除自定义过滤器的@Component的注解,并且将自定义过滤器以new的方式手动传入过滤器链中,这时候ignoring配置的路径就生效了。
关于Spring Security ignoring失效
bool的博客
12-27 1163
// filter不能使用spring来管理,不然会让ignoring失效... 只能new
SpringSecurity6配置requestMatchers().permitAll() 无效问题
hardworking_boy的博客
04-29 1876
SpringSecurity6 自定义认证过滤器无效
SpringSecurity使用
最新发布
qq_71379541的博客
08-14 889
yml中设置spring:security:user:或者在WebSecurityConfig中配置@Autowired@Bean//如果不想加密就返回@Bean//使用内存数据进行认证//创建4个用户1.创建登录页面login.html2.在Controller中添加登录页面的访问路径3.WebSecurityConfig中配置。
springsecurity6配置四
程序猿的傻白甜
11-24 1143
springsecurity6配置自定义登录验证方式
SpringSecurity自定义Filter的ignoring()失效问题源码分析
大张
07-22 2248
忽略SpringBoot启动流程中服务器是如何将Spring的Filter加载进来和过滤的流程。下图简要概括了Secutiry的Filter和SpringFilter的Bean的关系源码太多,流程太复杂繁琐,过了一些主要的代码和主干。遇到了问题发现没有人在源码上分析原因,花了一天时间简要的概括了一下。httpshttpshttpshttpshttpshttpshttpshttpshttpshttps。.............................................
Spring security UserDetailsService autowired注入失败错误
aiqi458587的专栏
01-23 1719
最近使用spring mvc + spring security 实现登录权限控制的时候,一直不能成功登录,检查过后是dao一直无法注入为null CustomUserDetailConfig.java SecurityConfig.xml 错误原因: Security先于Spring 加载,手动注入的customUserDetailsService,由于spri...
maven项目引入spring boot依赖之后filter不生效的问题
走马行酒醴,驱车布鱼肉
12-18 1万+
创建一个maven项目,项目结构如下: 其中,pom.xml的内容如下: <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://maven.apache.org/POM/4
Spring@Autowired注解失效原因集锦
weixin_42246822的博客
04-15 2821
在微服务项目中,会遇到@Autowired注解失效的情况。下面就汇总一下@Autowired注解失效的原因。 new出来的对象 在做项目时,本来在对应的类中加了@Component的注解,但是实际在使用时却new出来了对象。 在获取对象时一直是null,经过排查发现是因为new出来的对象,Spring容器并没有真正管理。 而Spring是默认单例的,如果加了注解,那么创建对象就是Spring来做了。 如果直接new出来一个对象,那么这就不是交给Spring IOC来管理了。 没有加对应的注解 能交给Spri
SpringSecurity的大
m0_57918209的博客
03-09 220
经分析得知,由于我在前端这边没有及时清理token,之后就走到了我的jwt过滤器的token验证逻辑,token是没问题的,可关键是springSecurity的上下文放了一个usernamePasswordAuthenticationToken,导致后续走匿名过滤器的时候报错了。这几天一直在做前端项目,结合Security、jwt对页面登录进行了一次安全加固。给login接口开放了一个匿名访问通道,可经常性的出现403的权限错误。用postman模拟就是这种效果。
SpringSecurity 6 自定义Filter无效解决方案
m0_66728699的博客
10-07 859
【代码】SpringSecurity 6 自定义Filter无效解决方案。
SpringSecurity记录——404导致有效token被认为无效
Logger
03-23 3405
问题 昨天遇到了一个大,接手一个现有的项目使用的SpringSecurity的,本地跑起来之后postman调接口 token一直认证不了,但是用相同的token在dev服务器端访问确可以通过(本地和dev环境连的同一个redis)。 原因 先直接说原因:我postman调用的url不对,这个项目包含十几个微服务,都有context-path的配置,唯独这个服务没有,我postman调用时想当然的给加了context-path,实际上是404。 或许你会问,怎么连404都看不出来,然而是实际上我拿到的响
记一个spring-boot-starter-security消费者访问不到的大
goxingman的博客
08-25 973
先写一下流程: 1、服务提供端 pom.xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> yml spring: security:
Spring——Filter过滤器注入Bean时注入失败[NULL]
无限迭代中......
03-08 2694
问题描述 Spring中Filter注入Bean时注入失败,Bean一直为空。 @Slf4j @Component public class RestAuthFilter extends FormAuthenticationFilter { //实际注入为null @Autowired MobileDeviceService mobileDeviceService;...
SpringBoot 2整合SpringSecurity遇到的一个大
The man was lazy and left no message
03-19 2005
前言 这几天一直在学习和慢慢摸索SpringBootSpringSecurity整合的知识要点,今天搭好了鉴权这一块后启动项目,准备用postman测一下几个接口,没想到遇到一个天(也许是自己才疏学浅了????????)。 首先在配置里过滤掉不需要认证的URL: .antMatchers("/login","/home","/getCode").permitAll() //过滤不需要认证的路径 ...
import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.http.HttpMethod; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.builders.WebSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/**").authenticated() .and() .apply(new JwtConfigurer(jwtTokenProvider)); } @Override public void configure(WebSecurity web) throws Exception { web.ignoring().antMatchers(HttpMethod.OPTIONS, "/**"); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(12); } } 这段代码中JwtConfigurer报错,帮我修改下
05-25
你需要在代码中定义 JwtConfigurer 类,或者使用 Spring Security 提供的 JwtConfigurer 类,具体代码如下: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值