关于SpringSecurity登陆验证的一个疑问

最新推荐文章于 2024-10-10 07:43:47 发布
最新推荐文章于 2024-10-10 07:43:47 发布
阅读量366 收藏
点赞数
分类专栏: java 文章标签: java SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43105612/article/details/91365133
版权
本文探讨了在使用Java Spring Security框架时遇到的强制类型转换问题,即从Principal对象强制转换到自定义的CSUserdetail类型时出现的ClassCastException异常。通过对比两种不同的代码实现方式,分析了为何直接进行类型转换后再判断会引发错误,而先获取Principal对象再进行转换则不会出现问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

代码如下:
JsonResult resultData = new JsonResult();
CSUserDetail userdetail = (CSUserdetail) SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if(UserDetail != null){

}

如上述代码,在CSUserdetail时会报错ClassCastException转型异常,说不能把java.lang.String类型转换为CSUserdetail类型,但是如下写法却是可以的,请看:
JsonResult resultData = new JsonResult();
Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal();
if(principal != null){
CSUserdetail userdetail = (CSUserdetail) principal;

}

这样写又行了,为啥不能先强转再判断啊?求大神给出正确的解释!!!

Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8273
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
在 Spring Security 中定义多种登录方式,比如邮箱、手机验证码登录
xxxzzzqqq_的博客
03-21 4078
自定义认证方式总体来说还是很简单的;需要从头重写的也就三个类,然后就是将其配置到Spring Security 中。如果需要再自定义手机号验证码登录,按照上述流程再走一遍就行。其实也是 copy 一份,然后进行小幅度的修改即可。
SpringBoot + Apache Shrio 构建通用权限系统,提示SecurityUtils.getSubject().getPrincipal() 转换类型错误
zhouzhiwengang的专栏
06-17 5180
构建SimpleAuthenticationInfo 权限配置信息: new SimpleAuthenticationInfo(user, password, getName()); 参数说明: user:用户信息 password:用户密码 realm:当前realm的名称 Apache Shrio 获取当前用户信息代码:User user = (User)SecurityU...
(TokenUser) authentication.getPrincipal() 转换异常Bug
yuqiling0818的博客
09-20 1万+
遇到的问题 springboot和spring cloud架构的项目,在认证模块通过token获取用户信息,在类型强转的时候 TokenUser tokenUser = (TokenUser) authentication.getPrincipal(); 报如下错误: java.lang.ClassCastException: com.wave.hotel.auth.bean.TokenUs...
java.lang.ClassCastException:class java.lang.String cannot be cast to 一个实体类
zhangaob的博客
04-01 2890
携带token时,authentication.getPrincipal()打印出来是一个对象。以上这么写必须携带token,不然就加个if的判断。自然 字符串 不能强转成一个 对象 了。不携带token时,只是一个字符串。点到出问题的文件,debug。是下面这一句出现的问题。
MYbatisPlus save或Update CastException 整整一个半小时的BUG,居然在这儿发现了!!
weixin_52445706的博客
02-24 775
MYbatisPlussave或UpdateCastException SecurityContextHolder
shiro-SecurityUtils.getSubject().getPrincipal()获取的值无法强制类型转换
zwj1030711290的优快云
03-08 4075
在登录成功后,我想取出当前登录的用户,就使用了 User user=User user=(User) SecurityUtils.getSubject().getPrincipal(); 但是运行就会出错 严重: Servlet.service() for servlet [springDispatcherServlet] in context with path [/kygl] threw exception [Request processing failed; nested exception i
20个SpringSecurity框架核心组件详解
威哥爱编程,优快云 博客专家、全栈领域新星创作者、华为 HDE,愿交天下 IT 技术爱好者
03-22 1244
其运行过程是在用户发送请求时被调用,根据请求的路径匹配相应的 SecurityFilterChain,并按照配置的安全过滤器链对请求进行处理。SecurityContextHolder 是 Spring Security 中非常重要的组件之一,它为安全框架的运行提供了关键的支持。通过配置不同的过滤器链,开发人员可以实现灵活的安全策略,包括身份验证、授权、会话管理等功能。通常情况下,开发人员需要实现自己的 UserDetails 类,从数据源中加载用户信息,并提供相应的方法来获取用户的身份信息和权限信息。
【Spring Security OAuth2】- spring security - 个性化用户认证流程1
smart_an的专栏
10-10 1074
标准登录页面
spring security框架使用及源码解析(保姆级教程)
边走、边悟、迟早变好
06-28 2288
Spring 框架已经作为企业级应用开发的事实上的标准,而作为 Spring 的亲儿子、专注于企业级应用安全领域的 Spring Security 从出生开始自然备受关注。Spring Security 在诞生之后,由于其对Spring框架的无缝集成、灵活度高、场景多样化以及对OAuth标准的实现,能够满足企业在认证和授权上的各种需求;作为 Apache 的顶级项目的 Shiro 差不多能够满足企业级应用系统对于安全性以及稳定性的要求,但是因为出身的问题,关注度持续走低。
使用SpringSecurity进行显示登陆的用户名称遇到的问题及解决
GleanWang的博客
08-07 572
严重:Servlet.service() for servlet [springmvc] in context with path [] threw exception spring security无法获取SecurityContextHolder.getContext().getAuthentication() 我遇到该问题的主要原因是import导入的包,错误地导成了本地user User user = (User) SecurityContextHolder.getContext().getAuth
springSecurity报错:AnonymousAuthenticationToken cannot be cast to UsernamePasswordAuthenticationToken
m0_47743175的博客
11-24 4180
记录 java.lang.String cannot be cast to org.example.bean.LoginUser 或 org.springframework.security.authentication.AnonymousAuthenticationToken cannot be cast to org.springframework.security.authentication.UsernamePasswordAuthenticationToken 报错问题
Shiro SimpleAuthenticationInfo使用
热门推荐
坤哥的博客
11-25 8万+
SimpleAuthenticationInfo这里原理很简单,又有一些值得挖掘的东西。 //此处使用的是user对象,不是username SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo( user, u
关于 oauth2 jwt authentication.getPrincipal 获取的是用户名的问题
Firstmetcs的博客
05-06 5064
第一种方案重写转换类(DefaultUserAuthenticationConverter) public Map<String, ?> convertUserAuthentication(Authentication authentication) { Map<String, Object> map = new HashMap<>(1); //继承UserDetails的对象 Object o = authentication.
Github Authentication failed(身份验证失败)解决方法 | GitHub Desktop如何退出
我是菜鸡
02-12 3万+
  昨晚心血来潮改了个git的用户名,改完之后今早晨发现桌面客户端就出问题了。提示以下问题。 Authentication failed. You may not have permission to access the repository or the repository may have been archived. Open options and verify that yo...
springboot整合springsecurity遇到的问题
weixin_30544657的博客
09-10 731
在整合springsecurity时遇到好几个问题,自动配置登录,下线,注销用户的操作,数据基于mybatis,模版引擎用的thymeleaf+bootstrap。 一、认证时密码的加密(passwordEncoder)原理如下 其中MD5Util是自定义密码加密工具类,随便写(注意添加盐值),注意点:理解匹配密码这个过程 //认证 @Overr...
Spring Boot 2.x实战78 - Spring Security 2 - Spring Security的认证(Authentication
汪云飞记录本
06-18 1586
1.3 Authentication Spring Security为我们提供了一个专门的org.springframework.security.core.Authentication接口来代表认证;它最常用的实现类有UsernamePasswordAuthenticationToken。 一旦请求被认证后,Authentication对象就会自动存储在由SecurityContextHolder管理的SecurityContext中。 认证的原理通过下面类的处理顺序来进行的: FilterChain
以上是不是少了一个Spring Security配置类
最新发布
03-21
<think>好的,我现在需要帮助用户检查是否缺少Spring Security配置类,并提供示例和说明。首先,我需要回顾用户提供的引用内容,看看是否有相关的配置类信息。 用户引用了四个内容,其中引用[3]提到了Spring Security的配置类,特别是configure(HttpSecurity http)方法。引用[2]和[4]也涉及到配置,但可能更侧重于整体项目设置和OAuth2的集成。用户的疑问是检查是否缺少配置类,所以需要明确标准的Spring Security配置类应该包含哪些内容。 首先,标准的Spring Security配置类通常继承自WebSecurityConfigurerAdapter,并使用@EnableWebSecurity注解。但在Spring Security 5.7及以上版本,推荐使用组件化的配置方式,不再推荐继承WebSecurityConfigurerAdapter。不过,用户提供的引用[3]中的示例仍然使用了继承的方式,这说明用户可能还在使用旧版本或者示例代码比较老。需要考虑到这一点,可能需要同时提供新旧两种配置方式。 接下来,需要检查用户提供的代码示例是否有配置类。在引用[1]中,主类使用了@MapperScan,但没有提到Security配置。引用[3]中的代码片段展示了一个configure方法,但可能不完整。用户可能需要一个完整的配置类示例,包括认证和授权的设置。 用户的问题还涉及到检查是否缺少配置类,因此需要说明如何确认是否存在配置类。通常,Spring Security的默认行为是自动配置一个基本的安全设置,比如所有请求需要认证,自动生成登录页面等。但如果用户需要自定义安全规则(如权限控制、忽略特定路径、自定义登录页等),就必须创建自己的配置类。 接下来,我需要构建一个完整的配置类示例,说明各个部分的作用。同时,需要提到常见的配置项,如放行静态资源、配置表单登录、设置权限等。还要注意版本差异,比如新版本中不再推荐使用WebSecurityConfigurerAdapter,所以应该提供两种示例:传统方式和组件方式。 此外,用户可能遇到的问题包括配置类未被正确扫描到,因此需要提醒使用@Configuration注解,并确保配置类位于主应用程序包的子包中。同时,引用[3]中的super.configure(http)可能保留了父类的默认配置,这可能不是用户需要的,特别是当用户想要完全自定义时,可能需要覆盖该方法而不调用super。 最后,生成相关问题,帮助用户进一步理解和排查配置问题,比如如何放行静态资源、禁用CSRF保护、内存认证配置等。这些问题应该覆盖常见的配置需求和问题点。</think>以下是Spring Security配置类的示例及检查方法说明: ### 一、Spring Security配置类基础结构 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 公共路径 .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } // 内存认证示例(生产环境建议用数据库) @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("{noop}password").roles("USER") .and() .withUser("admin").password("{noop}admin").roles("ADMIN"); } } ``` 关键注解说明: - `@EnableWebSecurity`:启用安全配置[^3] - `@Configuration`:标识为配置类 - 继承`WebSecurityConfigurerAdapter`(Spring Security 5.7+推荐使用组件式配置) ### 二、检查配置是否生效 1. **基本检查项**: - 确认类上有`@Configuration`注解 - 检查是否位于组件扫描路径下(主启动类包或子包) - 验证是否覆盖了`configure(HttpSecurity)`方法 2. **新版组件式配置(推荐)**: ```java @Configuration public class SecurityConfig { @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**").permitAll() .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login") .permitAll() ); return http.build(); } } ``` ### 三、常见缺失配置表现 | 现象 | 可能缺失的配置项 | |--------------------------|---------------------------| | 所有请求自动跳转登录页 | 未配置公共路径permitAll() | | 无法访问自定义登录页 | 未配置.loginPage() | | 用户权限验证不生效 | 未配置角色/权限校验 | | 静态资源被拦截 | 未配置资源路径放行 | ### 四、配置验证方法 1. 添加测试端点: ```java @RestController public class TestController { @GetMapping("/public/health") public String health() { return "OK"; } } ``` 2. 访问`/public/health`应直接返回结果,无需认证 [^1]: 主类配置示例参考 [^2]: 项目初始化配置建议 [^3]: 核心配置方法说明
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值