解决:spring security 登录页停留时间过长 跳转至 403页面

本文主要是介绍解决:spring security 登录页停留时间过长 跳转至 403页面,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言:最近的项目中用到了spring security组件,说句显low的话:我刚开始都不知道用了security好不勒,提了bug,在改的过程中,遇到了一些问题,找同事交流,才知道是用的security组件。  这个bug,真的是一波三折:复现它就是个问题,然后我又把403改成了404,后来干脆登录不进去主站,最后,这个bug,被消灭在本宝宝的代码中,哈哈哈哈哈!

 

问题所在:token 过期

一、关于问题的想法

1,我在想是不是写的登录逻辑有问题,用代码控制住了当前登录页的相关缓存问题,一路跟代码。 好吧,有些工程没权限就不说了,后来同事告诉我应该没又跳转到逻辑,就死掉了。 我在登录页发现了那个 security的标记(当时根本不知道那是个啥,傻X一个),查了查,再跟同事了解了具体情况,果断放弃对逻辑的怀疑,因为我们没有用代码控制缓存失效之类的

2,既然不是用户代码的问题,那就是组件机制的问题呗。 本宝宝立马翻了spring security的文档,里面真的提到了超时的概念。 并提出了集中解决方案,链接地址如下:https://docs.spring.io/spring-security/site/docs/4.1.3.RELEASE/reference/htmlsingle/#csrf-timeouts  好吧,里面提到了通过使用JS函数,在表单提交前获取到一个token值(通过使用spring提供的CsrfTokenArgumentResolver) 然而本宝宝并没有在这时候干掉这个不能算是bug的被提出的bug.也提到自定义处理相关异常的建议。 不过本宝宝一向都不是安分守己的人,好不容易整出一个bug,不折腾会儿,会遭天谴的,以下就是本宝宝验证演算的方案示例:

a:本来就是spring security的一种安全保护机制,不算bug,去跟测试和产品协商,忽略它——哈哈,当然这是下下策,虽然最为省事儿,但我预估99%会死

b:既然是停留时间过长才产生的问题,那我想办法,让用户不管在什么时候点击登录,就跟他刚刚输入完账户信息一样。 所以我就想到了:<METAHTTP-EQUIV="REFRESH"CONTENT="csrf_timeout_in_seconds"> 然而,在我的案例里面,并没有用啊,忧伤。

c:使用token注册机,弄出一个不过时的,给登录页面使用——哈哈,我想的挺好的。 再不行了,我找到关于这个token过期时间的代码,改掉它——果然一副写代码到死的精神

d:惹急了我,我把这个csrf的token验证功能关掉——简单又粗暴吧,嘿嘿——当然,这是决定不能干的事儿,虽然可以解决我那个bug

e:总之是出了异常,系统才会拦截到,然后跳转到了指定的403页面,那我就在它跳转到403页面之前,截住这个异常,然后由我自定义处理

f:这一条其实和第 d 条类似,我既然不能关掉所有的验证,那我关掉登录页的验证总行吧,登录页校验的本来就不是这个页面,而是用户的权限。谁都可以进入到登录页,不是吗,嘿嘿。 然后,本宝宝改写了拦截器,对登录页的请求放行了。 ——然而,可能是人品有问题,我竟然没法儿正常登录了,忧伤。肯定是哪儿被我写错了。

 

其实我想法可多了,总有一个能干掉这个bug,在几次忧伤之后,我选了自定义异常拦截这种方案,这条线的思路是:断点,看看它在跳转到403之前,到底拦截到了什么异常;找到异常,我自定义拦截,并做出我想要系统做出的反应

二、关键代码

自定义异常处理:

import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandlerImpl;
import org.springframework.security.web.csrf.MissingCsrfTokenException;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;/*** @author 何红霞~Angelina*/
public class MissingCsrfTokenAccessDeniedHandler extends AccessDeniedHandlerImpl {private RequestCache requestCache = new HttpSessionRequestCache();private String loginPage = "/login";@Overridepublic void handle(HttpServletRequest req, HttpServletResponse res, AccessDeniedException exception) throws IOException, ServletException {if (exception instanceof MissingCsrfTokenException && isSessionInvalid(req)) {requestCache.saveRequest(req, res);req.getRequestDispatcher(loginPage).forward(req, res);}super.handle(req, res, exception);}private boolean isSessionInvalid(HttpServletRequest req) {try {HttpSession session = req.getSession(false);return session == null || !req.isRequestedSessionIdValid();}catch (IllegalStateException ex) {return true;}}}
import org.springframework.security.web.access.AccessDeniedHandlerImpl;
import org.springframework.security.web.csrf.MissingCsrfTokenException;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;/*** @author 何红霞~Angelina*/
public class MissingCsrfTokenAccessDeniedHandler extends AccessDeniedHandlerImpl {private RequestCache requestCache = new HttpSessionRequestCache();private String loginPage = "/login";@Overridepublic void handle(HttpServletRequest req, HttpServletResponse res, AccessDeniedException exception) throws IOException, ServletException {if (exception instanceof MissingCsrfTokenException && isSessionInvalid(req)) {requestCache.saveRequest(req, res);req.getRequestDispatcher(loginPage).forward(req, res);}super.handle(req, res, exception);}private boolean isSessionInvalid(HttpServletRequest req) {try {HttpSession session = req.getSession(false);return session == null || !req.isRequestedSessionIdValid();}catch (IllegalStateException ex) {return true;}}}

好吧,其实这里又闹了一个笑话。 我最开始,把转发搞成重定向了,我靠,之前是token丢失,现在是整个参数都没了,想掐死自己的心都有了。 果真是久了不写基础代码,手生啊!

安全配置:

    @Beanpublic AccessDeniedHandler getAccessDeniedHandler() {return new MissingCsrfTokenAccessDeniedHandler();}
public AccessDeniedHandler getAccessDeniedHandler() {return new MissingCsrfTokenAccessDeniedHandler();}
http.exceptionHandling().accessDeniedHandler(getAccessDeniedHandler());

三、总结

按照上面的方法做,问题解决了。 反正目前我自测是没毛病了,有问题再说吧,哈哈哈哈哈。

其实这之中发生了几个插曲,我觉得可以分享一下:

1,最开始是跳转到403页面,结果我一通改,403是不跳了,但跳404了。 这时候,你怎么想问题?  反正我想的是:我既然能把403改成跳到404,我就一定能让它跳转到我想要让它去的地方,我离成功只差最后一点了。  有时候,最恐怖的不是bug被改变了,而是不管你怎么改,那个bug都没有变过,你知道这意味着什么吗?

2,我有时候觉得,我是心里变态的,因为我特别希望系统整出个大bug,最好是那种,无从下手的bug。 这想法不好,我得改!

3,我觉得,改bug是一件很有成就感和幸福感的事儿,我以前是苦逼的挖坑,现在是幸福的挖坑,然后幸福的填坑。 我改bug可开心了,果然天生的劳碌命,一辈子的码农啊。。。。。。    
 

 

这篇关于解决:spring security 登录页停留时间过长 跳转至 403页面的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1106720

相关文章

Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式

《Java通过驱动包(jar包)连接MySQL数据库的步骤总结及验证方式》本文详细介绍如何使用Java通过JDBC连接MySQL数据库,包括下载驱动、配置Eclipse环境、检测数据库连接等关键步骤,... 目录一、下载驱动包二、放jar包三、检测数据库连接JavaJava 如何使用 JDBC 连接 mys

SpringBoot线程池配置使用示例详解

《SpringBoot线程池配置使用示例详解》SpringBoot集成@Async注解,支持线程池参数配置(核心数、队列容量、拒绝策略等)及生命周期管理,结合监控与任务装饰器,提升异步处理效率与系统... 目录一、核心特性二、添加依赖三、参数详解四、配置线程池五、应用实践代码说明拒绝策略(Rejected

一文详解SpringBoot中控制器的动态注册与卸载

《一文详解SpringBoot中控制器的动态注册与卸载》在项目开发中,通过动态注册和卸载控制器功能,可以根据业务场景和项目需要实现功能的动态增加、删除,提高系统的灵活性和可扩展性,下面我们就来看看Sp... 目录项目结构1. 创建 Spring Boot 启动类2. 创建一个测试控制器3. 创建动态控制器注

Java操作Word文档的全面指南

《Java操作Word文档的全面指南》在Java开发中,操作Word文档是常见的业务需求,广泛应用于合同生成、报表输出、通知发布、法律文书生成、病历模板填写等场景,本文将全面介绍Java操作Word文... 目录简介段落页头与页脚页码表格图片批注文本框目录图表简介Word编程最重要的类是org.apach

Spring Boot中WebSocket常用使用方法详解

《SpringBoot中WebSocket常用使用方法详解》本文从WebSocket的基础概念出发,详细介绍了SpringBoot集成WebSocket的步骤,并重点讲解了常用的使用方法,包括简单消... 目录一、WebSocket基础概念1.1 什么是WebSocket1.2 WebSocket与HTTP

SpringBoot+Docker+Graylog 如何让错误自动报警

《SpringBoot+Docker+Graylog如何让错误自动报警》SpringBoot默认使用SLF4J与Logback,支持多日志级别和配置方式,可输出到控制台、文件及远程服务器,集成ELK... 目录01 Spring Boot 默认日志框架解析02 Spring Boot 日志级别详解03 Sp

java中反射Reflection的4个作用详解

《java中反射Reflection的4个作用详解》反射Reflection是Java等编程语言中的一个重要特性,它允许程序在运行时进行自我检查和对内部成员(如字段、方法、类等)的操作,本文将详细介绍... 目录作用1、在运行时判断任意一个对象所属的类作用2、在运行时构造任意一个类的对象作用3、在运行时判断

java如何解压zip压缩包

《java如何解压zip压缩包》:本文主要介绍java如何解压zip压缩包问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Java解压zip压缩包实例代码结果如下总结java解压zip压缩包坐在旁边的小伙伴问我怎么用 java 将服务器上的压缩文件解压出来,

SpringBoot中SM2公钥加密、私钥解密的实现示例详解

《SpringBoot中SM2公钥加密、私钥解密的实现示例详解》本文介绍了如何在SpringBoot项目中实现SM2公钥加密和私钥解密的功能,通过使用Hutool库和BouncyCastle依赖,简化... 目录一、前言1、加密信息(示例)2、加密结果(示例)二、实现代码1、yml文件配置2、创建SM2工具

Spring WebFlux 与 WebClient 使用指南及最佳实践

《SpringWebFlux与WebClient使用指南及最佳实践》WebClient是SpringWebFlux模块提供的非阻塞、响应式HTTP客户端,基于ProjectReactor实现,... 目录Spring WebFlux 与 WebClient 使用指南1. WebClient 概述2. 核心依