SpringSecurity 验证 报403 问题

解决SpringSecurity认证失败及403错误
原创 已于 2023-03-25 10:50:34 修改 · 1.5k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #spring boot

于 2023-03-24 22:36:48 首次发布
在调试过程中发现,每次用户认证时会在特定位置结束。问题出在UserDetails的实现上,将所有返回布尔值的方法改为返回true,因为isEnabled方法表示用户是否启用。此外,密码或用户名错误也会导致认证失败并返回403状态码,即使捕获了异常,日志也可能不会显示。需要注意区分不同类型的登录错误,如用户禁用、密码错误等。

在这里插入图片描述
debug,每次认证的时候总是 这里结束

    @Override
    public ResponseResult  login(User user) {
        UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(user.getUserName(), user.getPassword());
        Authentication authenticate = authenticationManager.authenticate(usernamePasswordAuthenticationToken);

解决方法:
找到实现 UserDetails类的类,我这叫LoginUser
下面所有返回值是布尔值的方法,return都改为true
在这里插入图片描述
原因:“UserDetails”类中的“isEnabled”在文档中说“指示用户是被启用还是被禁用。被禁用的用户不能是authenticated.

另外注意一下,用户名密码错误导致的这个authenticated不出来,也会报403。明明我这定义了异常,log不显示。
在这里插入图片描述
这需要debug看
密码错误
在这里插入图片描述
用户名错误
在这里插入图片描述
loginUser 用户禁用(用户名密码正确)
在这里插入图片描述
loginUser 用户禁用(用户名密码错误)
密码错误:用户失效,遇到catch基本上就可以结束了
在这里插入图片描述
用户名错误
在这里插入图片描述

springboot security安全管理403
weixin_74009895的博客
08-13 1113
springboot security安全管理403
Spring Boot+Spring Security:登出和403处理
weixin_45863786的博客
03-15 1080
说明 (1)JDK版本:1.8 (2)Spring Boot 2.0.6 (3)Spring Security 5.0.9 (4)Spring Data JPA 2.0.11.RELEASE (5)hibernate5.2.17.Final (6)MySQLDriver 5.1.47 (7)MySQL 8.0.12 需求缘起 现在在页面当中还无法进行退出登录的...
SpringSecurity登录验证没有权限的问题403
热门推荐
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
解决Spring Security使用过程中出现的403问题
weixin_51743499的博客
01-19 3558
4.接口已经再Spring Security的配置中设置了authenticated(),即需要授权,但忘记把过滤器添加到Spring Security中,这种情况不好发现,无法debug。被设置为authenticated()时需要获取对应的token授权后才可访问相应的接口。这个问题需要debug逐行查找。
Spring Security登录接口总403异常问题
qq_53324833的博客
06-01 1634
就是如果是新系统的话,一定要把旧SQL文件中的被加密的部分进行重新加密存储,反正我是这么解决的。
SpringBoot 整合 Spring Security 登录成功 访问其他接口 403
qq_37892558的博客
02-24 1291
【代码】SpringBoot 整合 Spring Security 登录成功 访问其他接口 403
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 7108
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
Spring Security 集成指南:避免 CORS 跨域问题
最新发布
weixin_52236586的博客
05-17 1060
CORS(Cross-Origin Resource Sharing,跨域资源共享)是一种安全机制,用于限制浏览器中运行的 Web 应用访问不同源的资源。当前端应用(如)尝试请求不同源的 API(如)时,浏览器会实施同源策略限制。"同源"意味着协议、域名和端口都必须相同。和是同源的和不是同源的(协议不同)和不是同源的(域名不同)和不是同源的(端口不同)在 Security 配置中显式启用 CORS确保对 OPTIONS 预检请求的正确处理避免多处 CORS 配置冲突。
Spring Security使用
CASER_HDMI的博客
10-30 1075
上面登录认证流程实现了用户会话访问接口,但是SessionId存储在cookie中,这样会导致csrf攻击,所以前端还需要把SessionId存储到其他位置,比如localStorage,在请求时,把它放到Header中,避免csrf攻击,或者直接生成一个新的csrf token,在每次请求时把它放到header或parameter中,在后端服务进行验证。一般来说,filterChain是我们需要重写的,我们的应用是无法直接使用默认filter的配置。数据库查询到的用户对应的密码。请求中的用户名/密码。
springsecurity验证成功页面跳转404
handsomepig123_的博客
01-22 1798
http://localhost:8080/login登录界面走springsecurity验证成功 本来应该到http://localhost:8080/得,结果一直跳到http://localhost:8080/res/error/404.html 百度查看说查 springsecurity配置的登录验证通过后走的url-参考链接https://blog.youkuaiyun.com/hhuiyao/article/details/111084060 @Override public voi.
spring boot 集成 spring securty登陆时 403
无需有太多~
01-07 4340
今天想把springsecurity集成到boot中,然后一个奇怪的错误就出现了,登陆地址老是出现403,搞了半天,找了各种问题,没想到只是需要关掉 csrf这个东西,如果你集成时出现登陆一直403或者一直往登陆页面跳,那么你可能需要配置如下: http.and().csrf().disable(); 案例如下: @Configuration public class SecurityConf...
记录一次错:spring security 403
Blue的博客
02-09 1712
你好,我是Blue. 为帮助别人少走弯路而写博客!!!想看更多 那就点个关注吧 我会尽力带来有趣的内容 😎。如果你遇到了问题,自己没法解决,可以私信问我。!
浅谈spring security 403机制
weixin_33965305的博客
06-01 804
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
Spring Security 自定义异常处理403
qq_43904196的博客
07-18 2715
通过以上原因进行分析我们得知了具体403在Http403ForbiddenEntryPoint对response进行一个设置的,而Http403ForbiddenEntryPoint实现了AuthenticationEntryPoint接口,所以我们也可以自己定义一个实现AuthenticationEntryPoint接口的一个实现类如下图所示:重写接口中的commence方法即可。
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 6613
解决使用Spring-Security框架发送请求出现403错误的问题
Spring BootSpring Security POST请求403
myli92的博客
05-12 3927
在使用Spring Security时发现,所有的get请求都可以正常访问,但是post请求一直提示403.最终发现SpringSecrity默认开启CSRF保护。 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式。 可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 方式1:禁用CSRF保
关于spring security 权限访问 403问题
weixin_45629294的博客
01-15 5017
spring security 在controller层使用方法级别注解 @PreAuthorize(“admin”)设置权限拦截问题,无权则返回403页面 早在权限框架没有出来之前,进行权限的拦截一般使用路径拦截的方式,后者在配置文件中配置拦截信息 spring security支持注解拦截的方式,其底层原理是过滤器, @PreAuthorize(“hasRole(‘xxx’)” ) @PostAuthorize(“returnObject.type == authentication.name”) @S
关于Spring securuty 403问题
qq_53755216的博客
03-02 237
项目场景: 个人云盘项目 spring + mybatis + mysql + springsecurity 不知不觉间 已经学了这么多东西了(心酸谁知。。。泪目 问题描述: 在使用spring security进行调试的时候 403forbidden 这两个bug花了我一天的时间。。。 原因分析: csrf打开 导致调试代码的时候POST 会被拦截 如果GET POST 都被拦截 那就说明是其他原因 解决方案: 问题1:再config中关闭csrf .and() .csrf() .disable(
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7579
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
springsecurity配置白名单后访问403
03-28
<think>好的,我现在需要帮助用户解决Spring Security配置白名单后仍然出现403问题。首先,我要回忆一下Spring Security的基本配置流程,特别是关于白名单的设置。根据用户提供的引用内容,特别是引用[2]和引用[4],可能的问题点有几个方面。 首先,用户提到白名单路径配置是否正确。根据引用[2],配置类需要明确指定哪些路径不需要拦截,这可能涉及到使用`antMatchers`或`requestMatchers`方法,并且需要结合`permitAll()`方法。如果用户没有正确使用这些方法,或者路径模式写错了,就会导致白名单失效。例如,用户可能配置了`/public/**`,但实际访问的是`/public`,缺少了通配符,导致不匹配。 其次,引用[4]指出,如果禁用了默认的登录页面(比如注释掉`http.formLogin()`),但没有提供自定义的认证入口点,当未认证的用户访问受保护的资源时,系统可能直接返回403而不是跳转到登录页。这时候,即使用户访问的是白名单路径,如果配置有误,也可能被误判为需要认证的资源。 另外,引用[3]提到Spring Security 5.7及以上版本弃用了`WebSecurityConfigurerAdapter`,如果用户还在使用旧的配置方式,可能会遇到兼容性问题。需要检查用户的配置类是否采用了新的方式,比如通过`SecurityFilterChain` Bean来配置。 还有一个可能的问题请求方法不匹配。比如,用户配置了`antMatchers(HttpMethod.GET, "/api/public")`,但实际发送的是POST请求,这时候也会导致403。需要确认白名单是否覆盖了所有需要的HTTP方法。 此外,权限配置顺序也很重要。Spring Security的配置是按照顺序生效的,如果先配置了更具体的路径,后面的白名单可能被覆盖。例如,如果先配置了`anyRequest().authenticated()`,再配置白名单,那么白名单就不会生效。需要确保白名单的配置在更通用的规则之前。 最后,可能需要检查是否存在其他安全过滤器干扰。比如自定义的JWT过滤器(如`JwtAuthenticationTokenFilter`)可能在没有令牌的情况下直接拒绝请求,导致403。需要确认过滤器是否正确配置,对于白名单路径是否放行。 综合以上可能的原因,我需要一步步引导用户检查他们的配置,确认路径是否正确,权限配置顺序是否正确,是否处理了未认证的情况,以及是否使用了新版本的配置方式。同时,建议用户检查日志,查看具体的拒绝原因,这有助于快速定位问题。</think>### Spring Security 白名单配置后仍出现403的解决方案 #### 1. 确认白名单配置语法正确性 - **新版配置方式(推荐)**: Spring Security 5.7+ 已弃用 `WebSecurityConfigurerAdapter`,需通过 `SecurityFilterChain` Bean 配置: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/public/**", "/login").permitAll() // 白名单路径 .anyRequest().authenticated() ) .formLogin().disable(); // 禁用默认登录页[^4] return http.build(); } ``` - **关键点**: - 使用 `requestMatchers` 或 `antMatchers` 明确白名单路径。 - 路径需包含**所有需要放行的HTTP方法**(如 `GET`, `POST`)。 - 确保白名单配置在 `.anyRequest().authenticated()` **之前**,否则优先级覆盖会导致失效[^2]。 #### 2. 检查权限校验流程完整性 若禁用默认登录页(如 `http.formLogin().disable()`),需配置**自定义认证入口点**,避免未认证请求直接返回403: ```java @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .exceptionHandling(exceptions -> exceptions .authenticationEntryPoint(new RestAuthenticationEntryPoint()) // 处理未认证请求 .accessDeniedHandler(new RestfulAccessDeniedHandler()) // 处理权限不足 ) .authorizeHttpRequests(auth -> auth .requestMatchers("/api/public/**").permitAll() .anyRequest().authenticated() ); return http.build(); } ``` - **作用**: - `RestAuthenticationEntryPoint`:引导未认证用户跳转登录或返回401。 - `RestfulAccessDeniedHandler`:自定义权限不足时的响应(如返回JSON提示)。 #### 3. 排查过滤器干扰 若项目中存在**自定义过滤器**(如JWT过滤器),需确保其对白名单路径放行: ```java public class JwtFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) { if (isWhiteListPath(request)) { // 判断是否为白名单路径 chain.doFilter(request, response); // 直接放行 return; } // 其他逻辑(如校验Token) } } ``` - **关键点**: 过滤器需在Spring Security过滤器链之前执行,或通过配置跳过白名单路径。 #### 4. 验证请求匹配规则 - **路径匹配规则**: - 使用 `/**` 匹配多级路径(如 `/public/**` 包含 `/public/a/b`)。 - 使用 `/*` 仅匹配单级路径(如 `/public/*` 不包含 `/public/a/b`)。 - **HTTP方法匹配**: 若白名单需支持所有方法,需明确指定: ```java .requestMatchers(HttpMethod.GET, "/api/read").permitAll() .requestMatchers(HttpMethod.POST, "/api/write").permitAll() ``` #### 5. 调试与日志分析 - **启用调试日志**: 在 `application.properties` 中添加: ```properties logging.level.org.springframework.security=DEBUG ``` - **日志关键信息**: - 请求是否命中白名单路径。 - 过滤器链是否中断请求。 - 权限校验失败的具体原因(如 `AccessDeniedException`)。 #### 6. 其他常见问题 - **静态资源未放行**: 若白名单包含静态资源(如 `/css/**`),需确认资源路径与实际请求一致。 - **CSRF保护干扰**: 对API接口可禁用CSRF(非Web页面场景): ```java http.csrf().disable(); ``` --- ### 示例配置(Spring Security 6.x) ```java @Configuration @EnableWebSecurity public class SecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/", "/login", "/public/**").permitAll() .anyRequest().authenticated() ) .exceptionHandling(exceptions -> exceptions .authenticationEntryPoint(new RestAuthenticationEntryPoint()) .accessDeniedHandler(new RestfulAccessDeniedHandler()) ) .csrf().disable(); return http.build(); } } ``` ---
评论 3
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值