堆棧內存溢出
  簡體   English   中英

如何在spring security中忽略請求參數

[英]how to ignore request parameters in spring security

 原文  2020-03-16 04:43:19       java/ spring-boot/ spring-security

問題描述

我想使用以下配置實現AuthenticationFailureHandler

// Auth failure handler
@Bean
public AuthenticationFailureHandler appAuthenticationFailureHandler() {

    ExceptionMappingAuthenticationFailureHandler failureHandler = new ExceptionMappingAuthenticationFailureHandler();
    Map<String, String> failureUrlMap = new HashMap<>();
    failureUrlMap.put(BadCredentialsException.class.getName(), "/login?error");
    failureUrlMap.put(AccountExpiredException.class.getName(), "/login?expired");
    failureUrlMap.put(LockedException.class.getName(), "/login?locked");
    failureUrlMap.put(DisabledException.class.getName(), "/login?disabled");
    failureHandler.setExceptionMappings(failureUrlMap);

    return failureHandler;

}

class SecurityConfiguration extends WebSecurityConfigurerAdapter我有:

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
            .antMatchers("/register", "/confirm").permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                // username password
                .usernameParameter("username")
                .passwordParameter("password")
                // success and failure handlers
                .successHandler(appAuthenticationSuccessHandler())
                .failureHandler(appAuthenticationFailureHandler())
                .permitAll()
                .and()
                .logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .logoutSuccessUrl("/login?logout")
                .invalidateHttpSession(true)
                .clearAuthentication(true)
                .permitAll()
                .and()
                .exceptionHandling().accessDeniedHandler(accessDeniedHandler())
        ;
    }

有了這個,上面提到的所有內容都沒有重定向到相關的失敗 URL,但是如果我刪除

.anyRequest()
.authenticated()

然后它被重定向到相關的失敗 URL,但這不是一個好習慣,現在的問題是我如何配置configure()以忽略 /login?request 參數並相應地實現進一步的邏輯?

1 個解決方案

解決方案1
 0  2020-03-16 05:01:02

據我了解,問題是像“/login?.*”這樣的網址只有在授權后才可用。 根據spring 示例,您可以使用配置文件中的以下代碼從授權訪問中排除路徑:

@Override
public void configure(WebSecurity web) throws Exception {
    web
        .ignoring()
            .antMatchers("/resources/**");
}

暫無
暫無

聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.

相關問題 為什么spring安全忽略請求攔截 如何在Spring Security中忽略端點? Spring Security - 忽略請求參數規則的Url 如何在 Spring Security 中忽略/排除 url 模式 如何在Spring中驗證請求參數? 如何自定義 Spring 安全認證以使用 3 個參數? 如何在 Postman 中添加 spring 安全參數? 在grails中攔截Spring安全性以獲取一些請求參數 spring security - 訪問UserDetailsS​​ervice實現中的請求參數 如何在Spring MVC中忽略請求的JSON處理?
相關標簽
 
粵ICP備18138465號  © 2020-2024 STACKOOM.COM