SpringSecurity登录后重定向到登录前访问页面策略

最新推荐文章于 2025-06-13 19:29:05 发布
原创 最新推荐文章于 2025-06-13 19:29:05 发布 · 1.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #spring boot #spring cloud alibaba

本文详细介绍了Spring Security中RequestCacheAwareFilter的作用,它负责从缓存中获取并转发请求。同时,讲解了ExceptionTranslationFilter如何处理未登录和权限不足的异常,异常发生时会将请求缓存。对于AuthenticationException,使用AuthenticationEntryPoint处理;对于AccessDeniedException,如果是匿名用户则使用AuthenticationEntryPoint,否则使用AccessDeniedHandler。这些机制确保了系统的安全性和用户体验。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

RequestCacheAwareFilter

只负责从缓存中提取缓存的请求,并转发到该请求
览器发出的请求优先被拦截器RequestCacheAwareFilter拦截,RequestCacheAwareFilter通过其持有的RequestCache对象实现request的恢复。

public class RequestCacheAwareFilter extends GenericFilterBean {

	private RequestCache requestCache;

	public RequestCacheAwareFilter() {
		this(new HttpSessionRequestCache());
	}

	public RequestCacheAwareFilter(RequestCache requestCache) {
		Assert.notNull(requestCache, "requestCache cannot be null");
		this.requestCache = requestCache;
	}

	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
			// 从缓存中提取保存的请求
		HttpServletRequest wrappedSavedRequest = this.requestCache.getMatchingRequest((HttpServletRequest) request,
				(HttpServletResponse) response);
			//如果缓存的请求不为null,则进行转发
		chain.doFilter((wrappedSavedRequest != null) ? wrappedSavedRequest : request, response);
	}

}

ExceptionTranslationFilter

1.未登录和权限不足异常缓存请求

什么时候缓存请求呢?ExceptionTranslationFilter 当遇到异常AuthenticationException、AccessDeniedException的时候,进行缓存

private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response,
			FilterChain chain, RuntimeException exception) throws IOException, ServletException {
			//处理AuthenticationException(指的是未登录状态下访问受保护资源)异常,缓存请求
		if (exception instanceof AuthenticationException) {
			handleAuthenticationException(request, response, chain, (AuthenticationException) exception);
		}
		//处理AccessDeniedException(登陆了但是由于权限不足)异常,缓存请求
		else if (exception instanceof AccessDeniedException) {
			handleAccessDeniedException(request, response, chain, (AccessDeniedException) exception);
		}
	}

	private void handleAuthenticationException(HttpServletRequest request, HttpServletResponse response,
			FilterChain chain, AuthenticationException exception) throws ServletException, IOException {
		this.logger.trace("Sending to authentication entry point since authentication failed", exception);
		sendStartAuthentication(request, response, chain, exception);
	}

	private void handleAccessDeniedException(HttpServletRequest request, HttpServletResponse response,
			FilterChain chain, AccessDeniedException exception) throws ServletException, IOException {
		Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
		boolean isAnonymous = this.authenticationTrustResolver.isAnonymous(authentication);
		if (isAnonymous || this.authenticationTrustResolver.isRememberMe(authentication)) {
			if (logger.isTraceEnabled()) {
				logger.trace(LogMessage.format("Sending %s to authentication entry point since access is denied",
						authentication), exception);
			}
			sendStartAuthentication(request, response, chain,
					new InsufficientAuthenticationException(
							this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication",
									"Full authentication is required to access this resource")));
		}
		else {
			if (logger.isTraceEnabled()) {
				logger.trace(
						LogMessage.format("Sending %s to access denied handler since access is denied", authentication),
						exception);
			}
			this.accessDeniedHandler.handle(request, response, exception);
		}
	}

	protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
			AuthenticationException reason) throws ServletException, IOException {
		// SEC-112: Clear the SecurityContextHolder's Authentication, as the
		// existing Authentication is no longer considered valid
		SecurityContext context = SecurityContextHolder.createEmptyContext();
		SecurityContextHolder.setContext(context);
		this.requestCache.saveRequest(request, response);
		this.authenticationEntryPoint.commence(request, response, reason);
	}

2. 两类异常处理 未登录AuthenticationEntryPoint和 权限不足AccessDeniedHandler。

  1. 如果异常是 AuthenticationException,使用 AuthenticationEntryPoint 处理
  2. 如果异常是 AccessDeniedException 且用户是匿名用户,使用 AuthenticationEntryPoint 处理
  3. 如果异常是 AccessDeniedException 且用户不是匿名用户,如果否则交给 AccessDeniedHandler 处理。
沐霜枫叶
关注
记一次头疼事故:springSecurity无法重定向登录页/springSecurity整合layui后,会话丢失,点击选项卡无法定位到登录页
雾林小妖的博客
09-03 232
springboot+layui整合springSecurity后,当会话丢失的时候即session信息丢失的时候,点击选项卡无法定位到登录页面。而是报错数据解析错误。
自定义登录页面的Spring Security实践
2501_90323865的博客
01-26 880
在现代Web开发中,安全性和用户体验是至关重要的。Spring Security作为Spring生态系统中的安全框架,提供了强大的认证和授权功能。通过自定义登录页面,我们不仅可以提升用户体验,还可以更好地融入项目的整体设计风格。本文将通过一个完整的示例,展示如何在Spring Security中使用自定义登录页面。一、项目背景在许多Web应用中,默认的登录页面可能无法满足设计需求。Spring Security允许我们通过简单的配置,替换默认的登录页面,同时保留其强大的安全功能。
java重定向session失效_SpringSecurity Session并发过期后会重定向到 /login (入口点问题)问题的解决...
weixin_35972359的博客
02-27 1417
问题描述在 SpringSecurity 中,我想配置一个关于session并发的控制,于是我是这样配置的@Overrideprotected void configure(HttpSecurity http) throws Exception {http.sessionManagement().invalidSessionStrategy(new InvalidSessionStrategyIm...
spring security简单介绍和访问策略
生而为人我很抱歉
08-10 1169
spring security是spring自带的后端权限校验安全控制框架,功能完善,简单易上手。 第一步,在pom.xml加入spring security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifact...
Spring security依赖导致访问端口重定向到login页面
最新发布
佛系写文
06-13 417
Spring Boot项目添加security依赖后自动跳转登录页的解决方案 摘要: 在Spring Boot项目中引入spring-boot-starter-security依赖后,访问端口会自动重定向登录页面,要求输入用户名密码。这是由于Spring Security默认启用了安全验证。解决方法是在启动类@SpringBootApplication注解中添加exclude参数,排除SecurityAutoConfiguration自动配置类,即:@SpringBootApplication(exclu
Spring Security登录成功后重定向到登陆页面 解决方案
超哥的博客
02-20 7018
问题:今天拿security做权限控制的时候,出现了特别灵异的一幕,security配置类写好了,正常登录的情况下,第一次登陆,登陆成功后总会莫名其妙重定向到项目的根路径,但是确实已经登陆成功了,访问主页可以进行访问了。 问题如图所示,打码部分为项目根路径。 配置类配置登陆成功后转向的是一个action,如图所示 具体解决过程十分坎坷,省略了 重点感谢一个大佬给我提了一句,我这个有可能不是重定向到首页,而是重定向登录页面了。 经检查后发现产生这个问题的原因是我项目启动默认访问路径就是 http:
spring security session 过期后页面跳转至登录页
xinglei200909931的博客
04-21 6280
最近在开发一个政务方面的项目,系统框架用到了spring security,结果出现了一个问题:就是session过期后页面跳转至登录页面的问题;  这里要分两种情况了;  第一种:普通的请求,如form表单提交,重定向spring-security.xml配置如下: &lt;session-management invalid-session-url="http://172.31....
Spring Security
m0_73500209的博客
03-05 1097
3. 访问控制(Access Control):Spring Security提供了多种访问控制的方式,包括基于URL的访问控制、基于方法级别的访问控制以及基于表达式的访问控制。1. 身份验证(Authentication):Spring Security提供了多种身份验证方式,包括基于用户名和密码的身份验证、LDAP身份验证、OAuth身份验证等。6. CSRF保护:Spring Security内置了对跨站请求伪造(CSRF)进行保护的机制,防止利用网站与用户之间的信任来进行攻击。
分布式架构单点登录+授权认证实战 CAS+SpringSecurity视频
11-13
"13.CAS工作流程介绍.avi"将详细解析CAS的工作流程,包括用户访问应用、重定向至CAS服务器进行登录、验证成功后的服务票(Service Ticket)生成,以及服务端验证服务票的过程。理解这个流程对于调试和优化SSO系统至...
spring-security实现自定义登录认证.rar
05-21
如果没有,它会将用户重定向登录页面。一旦用户成功登录Spring Security会创建一个SecurityContext,其中包含Authentication对象,该对象存储了用户的身份信息。 在Spring Security中,自定义登录认证通常涉及...
Springboot + Spring Security 实现后端分离登录认证及权限控制
m0_68850571的博客
04-10 1万+
Springboot + Spring Security 实现后端分离登录认证及权限控制 言     关于Spring Security的概念部分本文不进行赘述,本文主要针对于对Spring Security以及Springboot有一定了解的小伙伴,帮助大家使用Springboot + Spring Security 实现一个后端分离登录认证的过程。     文章会一步一步循序渐进的带大家敲一遍代码。最终的代码请看最后。     代码中我用到了插件lombok来生成实体的getter/set
spring security 处理session 超时跳转到登录页
I_forever的专栏
03-30 1万+
 Ajax请求,seesion超时 分析:当session超时的时候spring-security会跳转到登录页面。所以只要在登录的controller里面对请求作出判断,如果是异步请求则在response header中添加标识,在台通过js跳转到登录页面。 后台判断代码: if(request.getHeader("x-requested-with") != nu
Spring Security 登录重定向到不同的页面
白石的专栏
12-05 1707
Web 应用程序的一个常见需求是**在登录后将不同类型的用户重定向到不同的页面**。例如,将标准用户重定向到`/homepage.html`页面,将管理员用户重定向到`/console.html`页面就是一个例子。
Spring Security根据角色在登录重定向用户
allway2的博客
11-06 713
对于具有不同角色的不同用户,依此类推。如果基于角色的视图页面(编辑器主页、管理仪表板等)在控制器层中没有相应的处理程序方法,则可以在 Spring MVC 配置中配置视图名称解析,如下所示:这就是如何根据基于 Spring 引导和 Spring 安全性的 Java Web 应用程序中的角色重定向用户的全部内容。在这篇 Spring Security 文章中,我想分享有关如何根据经过身份验证的用户在 Java Spring Boot Web 应用程序中的角色重定向经过身份验证的用户的步骤和代码示例。
Spring Security——实现登录后跳转到登录页面
无限迭代中......
03-21 7969
基本概念 暂无。 官方文档 https://docs.spring.io/spring-security/site/docs/5.3.1.BUILD-SNAPSHOT/reference/html5/#nsa-form-login API SavedRequestAwareAuthenticationSuccessHandler:身份验证成功策略,可以利用身份验证成功策略,该策略Def...
用户未登录或Session超时时重定向登录页,不那么简单!
weixin_30372371的博客
07-30 1971
在网站开发中,我们经常有这样的场景出现: 情景1:对未登录的用户或没有权限的用户,当其想访问某个受限网页时,系统要能够自动转到登录页面. 情景2:对于用Session保存用户状态的情况还有这样一种需求,当用户的Session已超时时,用户再想执行操作时,也要将其转到登录页面. 在asp.net中,要实现上述的功能容易吗?有人会说:"这太容易了,可以通过下面两种方式实现...
Spring security/Shiro ---登陆成功后返回登陆界面<页面重定向
koooooooo5的博客
04-08 1480
Spring security ---登陆成功后返回登陆界面<页面重定向> 问题:在登陆/退出成功后,我们往往通过http.formLogin().successForwardUrl()和http.logout().logoutSuccessUrl()设定操作成功后的回跳页面。我们现在希望在任意界面跳转到登陆界面后,一旦登录成功便会返回登陆的界面。 解决方法:我们自定义一个过滤器,在Spring security将当页面(假设为P)重定向登录页面之,先将当页面P的url存入对应的Be
关于spring-security登录重定向至拦截访问的url的实现原理
热门推荐
ZY_cookie的专栏
10-31 2万+
首先我们来看下我们整个流程图 这就是我自己摸索出来的关于整个访问拦截登录重定向的流程图 其中3,6,7步是对拦截访问的request的处理 接下来是对以上几个步骤中关键代码的分析 1. 首先我们先了解下关于 FilterSecurityIntercepto所在的位置 我们看到他在最后一位从这个拦截器的下面代码: // Attempt a
Spring Security登录后一直跳转登录页面原因分析
oPeiJie1的博客
04-11 6012
,主要是分析由于存在多个RequestCache对象,当资源服务器接管路径的配置不正确时,无法获取正确的RequestCache对象,导致无法得到授权码。获取授权码的时候,因为此时没有登陆,所以会将我们重定向登录页面/login,在重定向还有一个动作就是缓存本次请求。既然我们是因为无法从缓存中拿到之的请求而导致再次被重定向登录界面的,那我们就看一下,获取缓存请求是怎么执行的?至此,我们晓得了,为什么我们得不到缓存请求,被一直重定向登录页面,那如何解决呢?输入正确的用户名和密码,点击登录
Spring Security用户登录流程及权限异步处理详解
本节将深入探讨如何利用Spring Security实现用户登录认证以及如何处理异步请求中用户无权限访问资源时,将用户重定向登录页面的相关知识点。 首先,Spring Security的核心是围绕着认证和授权两个主要概念构建的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值