java - Spring安全吃Angularjs POST请求-6ren

java - Spring安全吃Angularjs POST请求

转载作者：太空宇宙更新时间：2023-11-04 10:54:37

24

4

使用 Spring Security 自定义登录表单时，我从 UI 传递的参数在 HttpServletRequest 中无法访问。

class StatelessLoginFilter extends AbstractAuthenticationProcessingFilter {

    private final TokenAuthenticationService tokenAuthenticationService;
    private final CustomJDBCDaoImpl userDetailsService;

    protected StatelessLoginFilter(String urlMapping, TokenAuthenticationService tokenAuthenticationService,
            CustomJDBCDaoImpl userDetailsService, AuthenticationManager authManager) {
        super(new AntPathRequestMatcher(urlMapping));
        this.userDetailsService = userDetailsService;
        this.tokenAuthenticationService = tokenAuthenticationService;
        setAuthenticationManager(authManager);
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {

                final UsernamePasswordAuthenticationToken loginToken = new UsernamePasswordAuthenticationToken(
                request.getAttribute("email").toString(), request.getAttribute("password").toString());
        return getAuthenticationManager().authenticate(loginToken);
    }

    @Override
    protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response,
            FilterChain chain, Authentication authentication) throws IOException, ServletException {

        final UserDetails authenticatedUser = userDetailsService.loadUserByUsername(authentication.getName());
        final UserAuthentication userAuthentication = new UserAuthentication(authenticatedUser);

        tokenAuthenticationService.addAuthentication(response, userAuthentication);
        SecurityContextHolder.getContext().setAuthentication(userAuthentication);
    }
}

在 AttemptAuthentication 方法中，请求未采用我使用以下代码从 POST 请求传递的属性:

 var request = $http.post('/verifyUser', 
       {email: 'user', password: 'user',_csrf: $cookies['XSRF-TOKEN']})

我尝试使用调试器控制台跟踪它，发现有效负载填充了我转发的元素。

{"email":"user","password":"user","_csrf":"f1d88246-28a0-4e64-a988-def4cafa5004"}

我的安全配置是:

http
                .exceptionHandling().and()
                .anonymous().and()
                .servletApi().and()
                .headers().cacheControl().and()
                .authorizeRequests()

                //allow anonymous resource requests
                .antMatchers("/").permitAll()               
                //allow anonymous POSTs to login
                .antMatchers(HttpMethod.POST, "/verifyUser").permitAll()
                .and()
                  .formLogin().loginPage("/signin")
                .permitAll()
                .and()

                .addFilterBefore(new StatelessLoginFilter("/verifyUser", new TokenAuthenticationService("456abc"), new CustomJDBCDaoImpl() , authenticationManager()), UsernamePasswordAuthenticationFilter.class)


                .addFilterBefore(new StatelessAuthenticationFilter(new TokenAuthenticationService("456abc")), UsernamePasswordAuthenticationFilter.class).httpBasic()
                         .and().csrf().disable().addFilterBefore(new CSRFFilter(), CsrfFilter.class);

编辑#1

我还尝试使用 getParameter("email") 而不是 getAttribute("email")，但是此时整个参数映射也为空。

编辑＃2:添加请求内容

Remote Address:127.0.0.1:80
Request URL:http://localhost/api/verifyUser/
Request Method:POST
Status Code:502 Bad Gateway
Response Headers
view source
Connection:keep-alive
Content-Length:583
Content-Type:text/html
Date:Sun, 11 Oct 2015 17:23:24 GMT
Server:nginx/1.6.2 (Ubuntu)
Request Headers
view source
Accept:application/json, text/plain, */*
Accept-Encoding:gzip, deflate
Accept-Language:en-US,en;q=0.8
Connection:keep-alive
Content-Length:81
Content-Type:application/x-www-form-urlencoded
Cookie:XSRF-TOKEN=f1d88246-28a0-4e64-a988-def4cafa5004
Host:localhost
Origin:http://localhost
Referer:http://localhost/ui/
User-Agent:Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
X-XSRF-TOKEN:f1d88246-28a0-4e64-a988-def4cafa5004
Form Data
view source
view URL encoded
{"email":"user","password":"user"}:

最佳答案

您想要的电子邮件和密码数据是参数，而不是属性。 ServletRequest 中的属性只是服务器端数据，您可以在应用程序中使用它们在类之间或 JSP 之间传递数据。

注意:您必须使用内容类型 application/x-www-form-urlencoded 并确保请求正文以正确的格式编码才能在服务器端使用 getParameter，例如电子邮件=用户&密码=用户。

默认情况下，Angular 会将对象编码为 JSON

Transforming Requests and Responses

Angular provides the following default transformations:

Request transformations ($httpProvider.defaults.transformRequest and $http.defaults.transformRequest):

If the data property of the request configuration object contains an object, serialize it into JSON format.

另请参阅How do I POST urlencoded form data with $http in AngularJS?

Difference between getAttribute() and getParameter()

关于java - Spring安全吃Angularjs POST请求，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/47437724/

24

4

0

文章推荐： linux - 如何在 bash 中拆分单词

文章推荐： string - 按数字对文件名列表进行排序

文章推荐： linux - 第一次启动 mongod 会启动多个 mongod 进程

文章推荐： python - 处理多个同时的 SFTP 连接

angularjs - 从非 AngularJS 页面将参数传递到 AngularJS 应用程序
是否有在非 AngularJS 页面内初始化 AngularJS 应用程序的最佳实践方法？我正在向现有网页添加新功能，需要传入一个参数。具体来说，有一组选项卡，一个新选项卡将启动一个 Angular
angularjs - angularJs 中的这些引导方法有什么区别？
找不到这两者之间的区别。保留其中任何一个来引导我的 Angular 应用程序是否有意义？ angular.bootstrap(document,['myApp']); 或者 angularAMD.b
angularjs - AngularJS 如何查找和加载模块
我试图理解 Packpub 的书附带的示例 AngularJS 应用程序。 app.js文件在 client/src/app 下定义文件夹，它的模块定义看起来像 angular.module('app
angularjs - AngularJs 中的警告
Angularjs 具有用于表单验证和显示错误消息的强大基础设施。但是，我处于必须在特定场景中向用户显示警告消息的情况。这是我的简单表格的图表该表单在两个字段上都应用了必需和模式验证。除了此验证之外
angularjs - AngularJS Promise重试
我在重试功能正常工作时遇到了一些麻烦，希望能获得一些帮助。我有一个要调用的$ resource，直到出现成功情况或超过最大重试次数为止。我似乎遇到的问题是，在我的重试函数中，我正在调用另一个prom
angularjs - 根据用户是否经过身份验证隐藏或显示链接 - AngularJs
我目前正在开发一个 AngularJS 应用程序，我遇到了以下障碍。当用户提交时，我们有一个 login 页面，我们调用一个 web api 并对用户进行身份验证，我们目前正在使用 claims 身
angularjs - angularjs 中的动态指令
当范围更新时，指令的属性不会改变，它们仍然保持初始值。我在这里缺少什么？ HTML works great works: {{foo}} Javascript (基于首页上的 A
angularjs - 基础和 AngularJS
我正在使用 Zurb 的 Foundation 框架修改应用程序以实现响应性和 AngularJS。存在数据显示在带有 ... 的表中的错误有是根据 Foundation 的响应规则隐藏/显示的。不
angularjs - AngularJS $ watch改变元素的宽度
在过去的三天里，我一直在搜寻互联网，试图弄清楚当angular注意到div的宽度发生变化时如何使指令运行。我不断看到相同的示例，说明如何实现此目标，但是它们对我不起作用，我也不知道为什么。我回到一
angularjs - 综述 - AngularJS
我正在使用以下代码尝试汇总在 Angular ，这在整个作品中，但是小于 0.5 的数字四舍五入为 0。我想向上取整每个数字到下一个整数。例如 0.02 应四舍五入为 1 {{((data.Vi
angularjs - AngularJS 定义中的命名冲突
我目前正在尝试以一种能够适当扩展到企业级别的方式来组织我的 Angular 应用程序。但是我发现似乎过度依赖框架内的命名约定，并且试图避免命名冲突是一个真正的问题。例如，当定义任何 constant
angularjs - AngularJS 对多页面应用程序有用吗
我正在阅读 AngularJS 基础知识，并且喜欢在我的页面中使用它的绑定(bind)功能。所以我可以定义可以在 View 中显示的数据，可以对数据进行更改，以便在 View 中更改它而无需担心。在
angularjs - AngularJS 中作用域的继承
在父 Controller 范围内，我定义了 selectedItem设置为“x”。然后在子范围内，我定义了selectedItem使用 ngModel:
angularjs - AngularJS 的数字签名
关闭。这个问题需要更多 focused .它目前不接受答案。想改进这个问题？更新问题，使其仅关注一个问题 editing this post . 5年前关闭。 Improve this questi
angularjs - AngularJS ng类的多个条件
如果2个条件为真，我试图将一个特定的类应用于li元素，因此我编写了以下代码，但似乎无法正常工作 ng-class="{current:isActive('/'), loginStatus: false
angularjs - angularJS ng模式不起作用
请看看朋克。 http://plnkr.co/edit/DuTFYbLVbPkCIvRznYjG?p=preview ng-pattern regEx不适用于输入文本字段。仅在需要验证的情况下才能正
angularjs - AngularJS/Ionic中的深层链接示例
我正在为iOS + Android构建AngularJS(1.x)和Ionic/Cordova移动应用程序。我想在登录页面上添加/创建“深层链接”，以便在我向新用户发送“确认您的电子邮件”电子邮件时，
angularjs - AngularJS 服务何时重新初始化？
angularjs 中服务(或工厂)的生命周期是什么，何时重新初始化？最佳答案当 Angular 启动时，它会将服务的构造函数附加到关联的模块上。这种情况发生一次。 angular .modu
angularjs - Angularjs 的事件记录或数据映射器模式？
我对 Angular 很陌生，所以希望我知道的足够多，可以问什么似乎是合理的设计问题。我正在通过 Angular 绘制一些数据，并且正在使用 $resource。在将 Angular 引入项目之前，
angularjs - angularJs 的国家选择控件
我需要在我的 angular-breeze 应用程序中使用国家/地区下拉菜单，我尝试了以下操作: https://github.com/banafederico/angularjs-country-s

首页

博学

6Ren·AI

商城

java - Spring安全吃Angularjs POST请求