Spring安全过滤器身份验证成功但发回403响应

2023-11-24

我有一个带有以下网络安全配置的 Spring Boot 应用程序：

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
        .authorizeRequests()
            .antMatchers("/login**", "/signup**").permitAll()
        .and()
        .csrf().disable()
        .authorizeRequests()
            .anyRequest().authenticated()
        .and()
        .addFilterBefore(jwtAuthenticationFilter,
            UsernamePasswordAuthenticationFilter.class);
}

The JWTAuthenticationFilter看起来像这样：

@Component
public class JWTAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    @Autowired
    private UserDetailsService customUserDetailsService;

    private static Logger logger = LoggerFactory.getLogger(JWTAuthenticationFilter.class);
    private final static UrlPathHelper urlPathHelper = new UrlPathHelper();

    public JWTAuthenticationFilter() {
        super("/greeting");
        setAuthenticationManager(new NoOpAuthenticationManager());
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException {
        Authentication authentication = AuthenticationService.getAuthentication(request, customUserDetailsService);
        return getAuthenticationManager().authenticate(authentication);
    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException {
        logger.debug("failed authentication while attempting to access " + urlPathHelper.getPathWithinApplication((HttpServletRequest) request));
    }
}

1.身份验证已成功完成，我什至在控制台中看到以下日志行：

2017-05-19 03:11:42 [https-jsse-nio-8443-exec-4] DEBUG c.b.c.s.a.j.JWTAuthenticationFilter -
                Authentication success. Updating SecurityContextHolder to contain: org.springframework.security.authentication.UsernamePasswordAuthenticationToken@f297a5c8: Principal: administrator; Credentials: [PROTECTED]; Authenticated: true; Details: null; Granted Authorities: USER_ROLE

但仍然是客户端，收到403响应。

2.我想让这个身份验证过滤器对所有端点执行，除了那些带有permitAll在网络安全配置器中。我该怎么做呢？

原因是它重定向到默认重定向URL in AbstractAuthenticationProcessingFilter这是/。要覆盖此行为，您需要覆盖successfulAuthentication().

unsuccessfulAuthentication()方法需要发送身份验证错误。

这是这两种方法的实现。

@Override
protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
        Authentication authResult) throws IOException, ServletException {
    SecurityContextHolder.getContext().setAuthentication(authResult);

    chain.doFilter(request, response);
}

@Override
protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
        AuthenticationException failed) throws IOException, ServletException {
    logger.debug("failed authentication while attempting to access "
            + urlPathHelper.getPathWithinApplication((HttpServletRequest) request));

    //Add more descriptive message
    response.sendError(HttpServletResponse.SC_UNAUTHORIZED,
            "Authentication Failed");
}

以下是一个独立的工作示例。我已为所有请求填充了虚拟身份验证对象，您需要使用自己的用户详细信息服务来验证，然后有条件地填充身份验证对象。

package com.test;

import java.io.IOException;
import java.util.Arrays;
import java.util.Date;
import java.util.List;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.web.servlet.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.builders.WebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;
import org.springframework.web.util.UrlPathHelper;

@SpringBootApplication
public class TestSpringSecurityCustomApplication {

    public static void main(String[] args) {
        SpringApplication.run(TestSpringSecurityCustomApplication.class, args);
    }
}

@Configuration
class CustomWebSecurity extends WebSecurityConfigurerAdapter {
    @Autowired
    private JWTAuthenticationFilter jwtAuthenticationFilter;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        System.out.println("Configuring security");

        http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class)
            .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS).and()
            .authorizeRequests()
                .anyRequest().authenticated()
            .and().csrf().disable();
    }

    @Override
    public void configure(WebSecurity web)
            throws Exception {
        web.ignoring().antMatchers("/login/**", "/signup/**");
    }
    /* Stopping spring from adding filter by default */
    @Bean
    public FilterRegistrationBean rolesAuthenticationFilterRegistrationDisable(JWTAuthenticationFilter filter) {
        FilterRegistrationBean registration = new FilterRegistrationBean(filter);
        registration.setEnabled(false);
        return registration;
    }
}

@RestController
@RequestMapping("greeting")
class TestService {
    @RequestMapping("test")
    public String test() {
        return "Hello World " + new Date();
    }
}

@Component
class JWTAuthenticationFilter extends AbstractAuthenticationProcessingFilter {

    @Autowired
    private UserDetailsService customUserDetailsService;

    private static Logger logger = LoggerFactory.getLogger(JWTAuthenticationFilter.class);
    private final static UrlPathHelper urlPathHelper = new UrlPathHelper();

    public JWTAuthenticationFilter() {
        super("/**");
        setAuthenticationManager(new NoOpAuthenticationManager());
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {
        Authentication authentication = AuthenticationService.getAuthentication(request, customUserDetailsService);
        return getAuthenticationManager().authenticate(authentication);
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
            Authentication authResult) throws IOException, ServletException {
        SecurityContextHolder.getContext().setAuthentication(authResult);

        chain.doFilter(request, response);
    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException failed) throws IOException, ServletException {
        logger.debug("failed authentication while attempting to access "
                + urlPathHelper.getPathWithinApplication((HttpServletRequest) request));

        //Add more descriptive message
        response.sendError(HttpServletResponse.SC_UNAUTHORIZED,
                "Authentication Failed");
    }
}

class AuthenticationService {
    public static Authentication getAuthentication(HttpServletRequest request, UserDetailsService userDetailsService) {

        String username = "TEST_USER";// get this from the token or request

        UserDetails user = userDetailsService.loadUserByUsername(username);
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(user,
                user.getPassword(), user.getAuthorities());

        //Use following to indicate that authentication failed, if user not found or role doesn't match
        boolean hasAuthenticationFailed = false;

        if(hasAuthenticationFailed) {
            throw new AuthenticationException(username){};
        }

        return authentication;
    }
}

@Component
class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // Returning dummy user, use your own logic for example load from
        // database
        List<SimpleGrantedAuthority> authorities = Arrays.asList(new SimpleGrantedAuthority(("ROLE_USER")));
        User user = new User("TEST_USER", "NO_PASSWORD", authorities);

        System.out.println("user : " + user.getUsername());

        return user;
    }
}

class NoOpAuthenticationManager implements AuthenticationManager {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        return authentication;
    }

}

Edit

通过自定义安全过滤器，permitAll()方法好像没有什么效果。所以应该重写以下方法WebSecurityConfigurerAdapter忽略 URL

@Override
public void configure(WebSecurity web)
        throws Exception {
    web.ignoring().antMatchers("/login/**", "/signup/**");
}

Note:我已经修改了上面的代码以使用相同的代码。另外，如果您想忽略子 URLloginIE。登录/dafdsf，那么你应该使用/login/**代替/login**

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Java

Spring

Spring安全过滤器身份验证成功但发回403响应的相关文章

如何在Spring Boot中初始化一次MongoClient并使用它的方法？

您好我正在尝试导出MongoClient在 Spring Boot 中成功连接后我尝试在其他文件中使用它这样我就不必每次需要在 MongoDB 数据库中进行更改时都调用该连接连接非常简单但目标是将应用程序连接到我的数据库一次然后
ResultSet：通过索引检索列值与通过标签检索

使用 JDBC 时我经常遇到这样的结构 ResultSet rs ps executeQuery while rs next int id rs getInt 1 Some other actions 我问自己以及代码作者为什么不使用
EL 通过 Scriptlet

在 JSP 中使用 EL 相对于 scriptlet 的优势是什么 EL 被认为是无脚本语言 EL 使 JSP 免受容易出错原始 Java 代码并强制您根据 MVC 思想编写 JSP EL 或像 JSTL 这样的标签库不可能实现的任何事情
AffineTransform.rotate() - 如何同时缩放、旋转和缩放？

我有以下代码它可以完成我想要绘制一个上面有一些棋子的棋盘的第一部分 Image pieceImage getImage currentPiece int pieceHeight pieceImage getHeight null dou
MediaPlayer.create() 始终返回 null

我以前用过媒体播放器从来没有遇到过这个问题每当我尝试使用 MediaPlayer create 时该方法都会给我 null 并且我无法播放声音我有什么遗漏的吗 public class Game extends Activity p
我需要一个字数统计程序[关闭]

这个问题不太可能对任何未来的访客有帮助它只与一个较小的地理区域一个特定的时间点或一个非常狭窄的情况相关通常不适用于全世界的互联网受众为了帮助使这个问题更广泛地适用访问帮助中心 help reopen questions 我需要弄清
为什么下面代码的输出是Thread[main,5,main]

public class test1 public static void main String args TODO Auto generated method stub Thread t Thread currentThread Sys
无法自动装配 org.springframework.mail.javamail.JavaMailSender

尝试运行我的应用程序时遇到以下问题所有的东西都调试过了还是一无所获 IDE 毫无问题地找到了 bean 所以我对这里发生的情况感到非常困惑 SEVERE Exception sending context initialized eve
selenium webdriver 中的多个程序执行不起作用

Selenium WebDriver 中的多个程序执行不起作用我编写了 1 个 testNG xml 文件和 2 个 java 类我尝试从 xml 文件运行这两个 java 类但这不起作用 XML代码
Servlet 调度程序当前不可用
JFrame Glasspane 也优于 JDialog，但不应该

我有一个带有 Glasspane 的 JFrame 未装饰该框架打开一个 JDialog 也未装饰也有一个 glassPane 并隐藏自身 setVisible false Glasspanes 通过 setGlassPane 设置对
如何在Java中模拟引用传递？

我是一个十足的 Java 菜鸟我知道 Java 将所有参数视为按值传递并且还有其他几个线程人们对此进行了解释例如在 C 中我可以这样做 void makeAThree int n n 3 int main int myInt 4 m
while 之后无法访问的语句[重复]

这个问题在这里已经有答案了我只是修改代码在以下代码中出现错误 int x 1 System out println x x while true x System out println x x 错误在最后一行我可以知道错误错误无
ASTParser：解析绑定后查找声明节点

我创建了一个启用了绑定的 AST 当我稍后解析绑定时我得到了一个有效的 ITypeBinding 但是当我想要获取绑定的声明 Node 时它总是返回 null 除非 ITypeBinding 在 sourceFile 中声明这是我
如何使 JScrollPane 与嵌套 JPanel 一起正常工作？

我正在使用 NetBeans 在 Java 中构建 Swing 应用程序但我遇到布局问题我的主框架包含一个JScrollPane其中包含一个JPanel called contentPanel其中又包含一个JPanel called l
Struts2中的变量声明

Struts2中如何声明变量并为该变量赋值使用设置标签
如何列出Resources文件夹中的所有文件（java/scala）

我正在编写一个函数需要访问资源中的文件夹并循环遍历所有文件名如果这些文件符合条件则加载这些文件 new File getClass getResource images sprites getPath listFiles 返回空指针
Spring Boot 访问 H2 控制台

我有一个基本的 Spring Boot 应用程序嵌入式 Tomcat Thymeleaf 模板引擎我创建了这个 bean 来访问控制台 Bean public ServletRegistrationBean h2ConsoleServl
Retrofit 2.0：预期为 BEGIN_OBJECT，但在第 1 行第 1 列路径 $ [重复] 处为 STRING

这个问题在这里已经有答案了我在邮递员上传递了更新用户请求并获得了成功的响应参见图片现在当我尝试使用 Retrofit 2 在我的应用程序中执行相同操作时出现错误 com google gson JsonSyntaxException
使用 PDFBox 在 Android 中创建 PDF

我正在尝试通过我的 Android 应用程序创建 PDFPDFBoxapi 但出现以下错误 java lang NoClassDefFoundError org apache pdfbox pdmodel PDDocument 我已经将以下

随机推荐

在 Go 中计算文件的硬链接

根据FileInfo 的手册页以下信息可用时stat 在 Go 中创建一个文件 type FileInfo interface Name string base name of the file Size int64 length in
Azure AD：访问令牌中缺少角色声明

对于我的应用程序我希望用户能够使用其 Azure 帐户登录单点登录我还需要一个访问令牌来访问安全后端所以我可以同时得到id token和access token 向此 url 发出请求 https login microsofton
通过移动通过散点绘制的点来对 python pyplot 进行动画处理

我在用 Python 制作动画时遇到了麻烦我的问题是制作沿着特定轨迹移动的 3D 点的动画我可以通过使用动画模块并在绘图的每一帧重新制作来做到这一点请参阅我的脚本中的第一个选项我想只移动每帧的点位置而不重新制作所有轴请参阅我的脚
JPA 2.0（日志记录和跟踪）与 Glassfish 3.0.1 和 NetBeans 6.9.1：

我在用JPA 2 0 EclipseLink提供者与Glassfish v3 0 1 and NetBeans 6 9 1我无法看到 JPA 2 0 中的查询和其他日志记录信息本质上我希望能够看到 JPA 生成的所有 SQL 语句以及其
如何从打字稿中的静态函数访问非静态属性

我在嘲笑User并且需要实现静态方法findOne这是静态的所以我不需要扩展User在我的调用类中 export class User implements IUser constructor public name string pub
nginx 和 php 拒绝访问

使用 nginx Web 服务器和 php nginx 正在工作我看到欢迎使用 nginx 但当我尝试访问 php 页面时我收到访问被拒绝的消息我还安装了 php fastcgi 这是我的 nginx 默认配置 redirect
Chrome 使用 jQuery ajax 时删除表单元素

我在操作的 JSON 响应中返回一些简单的 HTML 标记这是完整的响应为了可读性添加了换行符 Success true Content r n div class r n div
在 python 中的迭代器/生成器中引发异常后继续

Python 有没有办法在迭代器生成器抛出异常后继续迭代就像下面的代码一样有没有办法跳过 ZeroDivisionError 并继续循环gener 不修改run 功能 def gener a 1 2 3 4 0 5 6 7 8 0 9
如何从 intelliJ IDEA 中的资源文件夹访问图像，而无需提供完整路径名

我该如何在intelliJ IDEA中做这样的事情 File file new File C Users Account Documents ProjectFolder ResourceFolder image 但不必输入整个文件路径我很
C#：数字的通用接口

我正在尝试执行一些独立于数字类型的通用数字操作但是我知道没有办法使用泛型来做到这一点第一个想法是使用 where 语句过滤传入类型但所有数字类型都是封闭的因此对于通用过滤器无效此外泛型不允许标准数字运算加法移位等因此我能
如何将 Python 3 与 Google App Engine 本地开发服务器结合使用

我有一个本地 Python 应用程序配置为 runtime python in it s app yaml文件当启动本地开发服务器时 dev appserver py app yaml 一切皆好由于GAE的本地开发服务器默认使用Pyth
在 pandas.DataFrame 的对角线上设置值

我有一个 pandas 数据框我想看到对角线为 0 import numpy import pandas df pandas DataFrame numpy random rand 5 5 df Out 6 0 1 2 3 4 0 0 5
从 [Code] 退出 Inno Setup 安装

是否可以从其中的功能退出安装 Code 使用 Inno Setup 创建的安装程序的一部分我对设置退出代码不感兴趣我想做的是对要求执行自定义检查如果以前未安装该要求则退出安装为了防止安装程序运行当先决条件测试失败时只需返回Fa
Android Studio 的设备选择器在 Gradle Build 完成之前显示

在 Android Studio 1 5 之前设备选择器会在 Gradle Build 完成时显示这允许使用构建时间来物理配置设备进行任何最后一刻的更改或确保设备在安装时实际连接如果我想取消 gradle 运行而不中断我的工作流程
追踪 SciPy 的 `ttest_ind()` 函数所做的假设

我正在尝试编写自己的 Python 代码来计算一尾独立 t 检验和二尾独立 t 检验的 t 统计量和 p 值我可以使用正态近似但目前我尝试仅使用 t 分布我未能成功地将 SciPy 统计库的结果与我的测试数据进行匹配我可以用一双新的
如何让docker-compose在M1芯片上工作？

我是 m1 macbook 的新手在运行 docker compose 时遇到问题如下所示 version 3 7 services search platform linux x86 64 build context dockerfi
在 PyTorch 中用向量替换对角线元素

我一直在到处寻找与 PyTorch 等效的东西但我找不到任何东西 L 1 np tril np random normal scale 1 size D D k 0 L 1 np diag indices from L 1 np exp
如何在 Discord.js 中检查消息是否为私信？

目前我使用的是最新版本Discord js v13 1 0 我希望能够检测某条消息是否是 DM 我尝试制作一个messageCreate事件并执行 if 语句来检查通道是否为 DM client on messageCreate messa
“以不同用户身份运行”Visual Studio，无法清除缓存的 TFS 凭据

Update我设法通过向用户授予使用凭据集 2 远程连接到桌面的权限来解决此问题从而能够从凭据管理器中删除存储的凭据 I log onto my server with one set of credentials and open Vi
Spring安全过滤器身份验证成功但发回403响应

我有一个带有以下网络安全配置的 Spring Boot 应用程序 Override protected void configure HttpSecurity http throws Exception http sessionManage

Spring安全过滤器身份验证成功但发回403响应

Spring安全过滤器身份验证成功但发回403响应 的相关文章

随机推荐

热门标签

Spring安全过滤器身份验证成功但发回403响应的相关文章