spring boot——请求与参数校验——response重定向——response.sendRedirect("/test1");——重定向与转发的区别...

最新推荐文章于 2024-12-02 23:06:44 发布
原创 最新推荐文章于 2024-12-02 23:06:44 发布 · 855 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #servlet #java #前端 #html

该文章展示了两个SpringMVC控制器方法,分别用于处理HTTP响应。在test1方法中,通过response.sendRedirect实现重定向,而在test15方法中设置了HTTP响应头以防止缓存,并添加了Cookie,同时返回404状态码。

代码:

package org.example.controller;

import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

@RestController
public class ResponseParamController
{


    @RequestMapping(value = "/responseTest1")                     //获取请求行数据
    public void test1(HttpServletRequest request,HttpServletResponse response)
    {

        response.setStatus(302);
        response.setHeader("location","/tes
最低0.47元/天 解锁文章
springboot 重定向(HttpServletResponse实现)
weixin_43931625的博客
12-19 7888
springboot重定向 *********************************** 示例 @RestController public class Hello3Controller { @RequestMapping("/hello") public void hello(HttpServletRequest request, HttpSer...
Spring Boot的Security安全控制——应用SpringSecurity!
IT_1024的博客
06-15 1273
前面介绍了在项目开发时为什么选择Spring Security,还介绍了它的原理。本节开始动手实践Spring Security的相关技术。
unable to access jarfile 解决方法_Springboot2.0解决跨域问题的三种方法
weixin_39620370的博客
12-08 2333
01Springboot2.0解决跨域问题的三种方法前后端分离大势所趋,跨域问题更是老生常谈,随便用标题去google或百度一下,能搜出一大片解决方案,那么为啥又要写一遍呢,不急往下看。问题背景:Same Origin Policy,译为“同源策略”。它是对于客户端脚本(尤其是JavaScript)的重要安全度量标准,其目的在于防止某个文档或者脚本从多个不同“origin”(源)装载。它...
SpringBoot 第九课 拦截器
戴林峰的博客
07-14 189
新建一个拦截器类实现HandlerInterceptor接口 package sprintbootstudy.springbootquickstart.controller; import org.springframework.web.servlet.HandlerInterceptor; import org.springframework.web.servlet.ModelAndView;...
springboot 请求转发器_SpringBoot使用Filter过滤器处理是否登录的过滤时,用response.sendRedirect()转发报错...
weixin_28683165的博客
12-23 2160
1、使用response.sendRedirect("/login")时报错,控制台报错如下:Cannot call sendError() after the response has been committed。字面意思是:提交响应之后,无法再调用。其实就是response调用了两次我正在做一个springboot的项目,使用Filter过滤器在过滤一些请求url时,因为有些页面的url请求...
Spring Boot项目@RestController使用重定向redirect
angou6476的博客
08-31 2072
Spring MVC项目中页面重定向一般使用return "redirect:/other/controller/";即可。而Spring Boot使用了@RestController注解,上述写法只能返回字符串,解决方法如下: 将一个HttpServletResponse参数添加到处理程序方法然后调用response.sendRedirect("some-url"); @Res...
SpringBoot集成Spring security 2024.10(Spring Security 6.3.3)
m0_74824483的博客
12-02 1378
Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是保护基于Spring的应用程序的事实标准。Spring Security是一个专注于为Java应用程序提供身份验证和授权的框架。/*** @Description: 用户登录控制器*/@Autowired/*** 定义登录页面* @return*//*** 跳转主页main。
shiro + spring boot +jwt 无状态权限认证
如果有一天我能够拥有一个大果园,我愿放下所有追求做个农夫去种田
06-30 8963
最近的需求是要在项目中加入权限模块。在对接shrio中查找资料遇到了一些问题。所以记录下spring boot 对接 shiro 以及jwt 生成token 做权限校验。 Shiro框架中有三个核心概念:Subject ,SecurityManager和Realms。 Subject Subject表示 执行当前操作的用户,当然subject 不单单指的是用户,它可以是第三方进程、定时任务,等...
【精品】Springboot重定向时传递参数
04-18 1485
将设置的属性放到 session 中,session中的属性在重定向到目标页面后马上销毁。该隐藏了参数,链接地址不直接暴露,但只能在重定向的 “页面” 获取参数的值。:这种方法直接将传递的参数暴露在链接地址上,不安全,慎用。
SpringBoot请求转发重定向
qq_43842093的博客
04-07 2550
但是可能由于B网址相对于A网址过于复杂,这样搜索引擎就会觉得网址A对用户更加友好,因而在重定向之后任然显示旧的网址A,但是显示网址B的内容。在平常使用手机的过程当中,有时候会发现网页上会有浮动的窗口,或者访问的页面不是正常的页面,这就可能是运营商通过某种方式篡改了用户正常访问的页面。重定向,是指在Nginx中,重定向是指通过修改URL地址,将客户端的请求重定向到另一个URL地址的过程,Nginx中实现重定向的方式有多种,比如使用rewrite模块、return指令等。使用场景:在返回视图的前面加上。
response.sendRedirect("要重定向的url"),重定向无效问题
热门推荐
Irving_Ma的博客
04-03 1万+
问题描述: springboot项目中,过滤器拦截ajax请求,被拦截之后,使用response.sendRedirect("要重定向的url")重定向失败,一直走error。 问题分析: sendRedirect重定向的状态码为302,客户端发出非GET、HEAD请求后,收到服务端的302状态码,那么就不能自动的向新URI发送重复请求,除非得到用户的确认。很多浏览器都把302当...
springboot处理请求转发请求重定向应该这样写
qq_49249150的博客
10-24 3860
springboot处理请求转发请求重定向应该这样写 在没有应用springboot的时候,在servlet请求转发重定向是这样写的: //请求转发 request.getRequestDispatcher("/……").forward(request, response); //请求重定向 response.sendRedirect("/……");springboot项目的controller中,返回的ModelAndView默认
response.sendRedirect的使用
evilcry2012的专栏
10-10 4074
response.sendRedirect的使用 原创 2014年03月18日 16:46:59 2933 0 0 ①使用sendRedirect()来传递字符参数  使用sendRedirect() 代码: response.sendRedirect("/UsersManager/MainFrame?uname="+
SpringBoot中处理的转发重定向
CSL201816080304的博客
07-20 7787
基础内容: 页面跳转的两种实现方式:请求转发重定向请求转发: 客户首先发送一个请求到服务器端,服务器端发现匹配的servlet,并指定它去执行,当这个servlet执行完之后,它要调用getRequestDispacther()方法,把请求转发给指定的student_list.jsp,整个流程都是在服务器端完成的,而且是在同一个请求里面完成的,因此servlet和jsp共享的是同一个request,在servlet里面放的所有东西,在student_list中都能取出来,因此,student_lis
response.sendRedirect() 打死不跳转试
加金开发
05-11 2342
1.加载doget 或者dopost里面 PrintWriter out = response.getWriter(); out.println("<html>"); out.println("<script type='text/javascript/'>"); out.println("window.open ('...
SpringBoot项目后端重定向的问题
stepMore的博客
03-29 7367
       最近在做一个单点登录功能,单点登录成功之后跳转到我们的页面,单点登录失败之后跳转到我们的登录页面,顺便将错误信息返回给我们的登录页,并将错误信息显示出来。如下图所示的样子: 解决方式一        后端代码进行重定向的时候我们可以将需要的信息...
Springboot响应处理
Java硬件工程师的博客
07-01 1191
数据响应内容协商 响应页面指的是我们如何
SpringSecurity如何实现,有哪些要注意的点
最新发布
08-31
<think> 我们正在讨论Spring Security的实现方式及注意事项。根据之前的引用内容,我们了解到Spring Security用于处理认证授权,特别是在单点登录(SSO)场景中的应用。现在,用户希望了解Spring Security的实现方式以及实现过程中的注意要点。 分析需求: - 用户需要知道Spring Security的实现方式,包括核心组件和工作流程。 - 用户还关心实现时的注意点,比如安全配置、自定义用户细节、密码编码等。 我们将从以下几个方面展开: 1. Spring Security的核心实现原理 2. 实现步骤(配置、认证、授权) 3. 实现过程中的关键注意点 同时,参考之前关于单点登录的引用内容,我们可以结合LoginUserDetail的自定义用户详情对象和依赖引入进行说明。 注意:引用[1]展示了如何自定义UserDetails(LoginUserDetail继承自User),引用[2]提到了需要引入spring-boot-starter-security依赖。 下面开始组织回答。 </think> ### Spring Security 实现方式及关键注意点 Spring Security 是一个基于 Spring 的认证授权框架,通过过滤器链、自定义组件和声明式配置实现安全控制。以下是核心实现方式及注意事项: --- #### 一、**核心实现方式** 1. **过滤器链(Filter Chain)机制** - Spring Security 通过**过滤器链**处理 HTTP 请求,每个过滤器负责特定安全任务(如认证、授权、CSRF 防护)。 - 典型过滤器: - `UsernamePasswordAuthenticationFilter`:处理表单登录 - `BasicAuthenticationFilter`:处理 HTTP Basic 认证 - `AuthorizationFilter`:校验访问权限(如角色/权限)[^1] - **实现示例**: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**").permitAll() // 公开资源 .requestMatchers("/admin/**").hasRole("ADMIN") // 需 ADMIN 角色 .anyRequest().authenticated() // 其他请求需认证 ) .formLogin(form -> form.loginPage("/login").permitAll()) // 自定义登录页 .csrf(csrf -> csrf.disable()); // 按需关闭 CSRF return http.build(); } ``` 2. **认证(Authentication)实现** - **核心接口**:`UserDetailsService`(加载用户数据)和 `AuthenticationProvider`(校验凭证)。 - **自定义用户认证**: - 继承 `User` 类封装用户信息(如 `LoginUserDetail`),需调用父类构造器传递认证参数[^1]: ```java public LoginUserDetail(Long userId, String username, String password, boolean enabled, Collection<? extends GrantedAuthority> authorities) { super(username, password, enabled, true, true, true, authorities); // 关键:调用父类构造器 this.userId = userId; } ``` - 实现 `UserDetailsService`: ```java @Service public class CustomUserDetailsService implements UserDetailsService { @Override public UserDetails loadUserByUsername(String username) { User user = userRepository.findByUsername(username); return new LoginUserDetail(user.getId(), user.getUsername(), user.getPassword(), user.isEnabled(), user.getAuthorities()); // 封装自定义对象 } } ``` 3. **授权(Authorization)实现** - **注解驱动**:通过 `@PreAuthorize`、`@PostAuthorize` 控制方法级权限: ```java @PreAuthorize("hasRole('ADMIN') or #userId == authentication.principal.userId") public void updateProfile(Long userId) { ... } ``` - **URL 级授权**:在 `SecurityFilterChain` 中通过 `requestMatchers()` 配置路径权限[^1]。 4. **单点登录(SSO)集成** - 基于 OAuth2/OIDC 协议,需配置 `ClientRegistration` 和 `OAuth2AuthorizedClient`: ```java @Bean public ClientRegistrationRepository clientRegistrationRepository() { return new InMemoryClientRegistrationRepository( ClientRegistration.withRegistrationId("sso-provider") .clientId("client-id") .clientSecret("secret") .authorizationGrantType(AuthorizationGrantType.AUTHORIZATION_CODE) .redirectUri("{baseUrl}/login/oauth2/code/{registrationId}") .scope("openid", "profile") .authorizationUri("https://sso-provider/auth") .tokenUri("https://sso-provider/token") .build() ); } ``` --- #### 二、**关键注意点** 1. **密码安全存储** - **必须使用密码编码器**(如 `BCryptPasswordEncoder`),避免明文存储: ```java @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); // 推荐强度 10-12 } ``` 2. **会话管理** - **防御会话固定攻击**:在登录成功后使旧会话失效: ```java http.sessionManagement(session -> session .sessionFixation().changeSessionId() // 或 migrateSession() ); ``` 3. **CSRF 防护** - **表单提交需携带 CSRF Token**:默认开启,前端需集成: ```html <input type="hidden" name="_csrf" th:value="${_csrf.token}" /> ``` - **API 场景关闭 CSRF**:若为无状态 API(如 JWT),需显式关闭: ```java http.csrf(csrf -> csrf.disable()); ``` 4. **自定义登录页认证端点** - **登录页路径**:避免 Spring Security 默认路径冲突(如 `/login`): ```java .formLogin(form -> form.loginPage("/custom-login").permitAll()) ``` - **认证成功/失败处理**:重定向或返回 JSON 响应: ```java .successHandler((request, response, auth) -> response.sendRedirect("/home")) .failureHandler((request, response, ex) -> response.sendError(401, "认证失败")); ``` 5. **权限粒度的控制** - **最小权限原则**:配置时优先拒绝(`denyAll`),再逐步开放权限。 - **方法级 URL 级结合**:粗粒度用 URL 拦截,细粒度用注解控制。 6. **集成测试** - 使用 `@WithMockUser` 模拟认证用户: ```java @Test @WithMockUser(roles = "ADMIN") void testAdminEndpoint() { ... } ``` --- #### 三、**依赖初始化** 1. **必需依赖**: ```xml <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> <!-- 核心依赖 [^2] --> </dependency> ``` 2. **初始化配置**: - 继承 `WebSecurityConfigurerAdapter`(旧版)或直接定义 `SecurityFilterChain` Bean(新版)。 --- ### 总结 | **组件** | **作用** | **注意要点** | |------------------------|----------------------------------|------------------------------------------| | **过滤器链** | 拦截请求并处理安全逻辑 | 顺序敏感,避免自定义过滤器位置错误 | | **UserDetailsService** | 加载用户认证数据 | 必须返回完整的 `UserDetails` 对象 | | **密码编码器** | 安全存储密码 | 强制使用 BCrypt/SCrypt,禁用明文 | | **授权注解** | 方法级权限控制 | 需启用 `@EnableGlobalMethodSecurity` | | **CSRF 防护** | 防御跨站请求伪造 | API 场景需按需关闭,表单场景必须集成 Token | **最佳实践**: - 生产环境开启 HTTPS - 定期审查权限配置 - 日志记录关键操作(如登录失败) - 使用 Spring Security 测试工具验证配置
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值