个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我的 Spring MVC Web 应用程序中有一个相当简单的 Spring Security 配置。我正在从远程 Web 应用程序接收 REST 请求,这些请求通过我的预身份验证过滤器进行身份验证。我只是在请求中查找 header ,如果存在,我将返回该字符串值(即用户名)作为身份验证对象。这工作得很好,当请求进来时,用户就会得到身份验证。
无论出于何种原因,每当我尝试强制执行基于模式的安全性 antMatcher 或 Controller 方法注释的安全性时,都会导致客户端收到 CORS 错误。我必须保持访问完全开放,以允许在这个跨域环境中发生实际请求。
我的问题是,一段时间后, session 似乎过期了。当用户点击我的 Controller 之一并且我尝试从主体对象获取用户名时,我收到 NullPointerException,因为主体为空。一旦过期,AnonymousAuthFilter 就会启动并允许用户以匿名身份连接。
我假设我不想要完全无状态的身份验证 session ,因为我也在使用 websockets 的 session ,并且当我使用消息模板“convertAndSendToUser”时,我需要提供用户名和 Spring 需求查找 websocket session 。但是,我想强制安全链识别传入请求是否未分配主体,以强制请求通过我的 PreAuthFilter 返回并重新建立 session 。
这可能吗?
这是我的安全配置文件中的配置方法的快速概述:
@Override
protected void configure(HttpSecurity http) throws Exception {
// Create authentication providers and authentication manager
List<AuthenticationProvider> authenticationProviders = new ArrayList<>(1);
AuthenticationProvider authProvider = preAuthenticatedAuthenticationProvider();
authenticationProviders.add(authProvider);
AuthenticationManager authenticationManager = authenticationManager(authenticationProviders);
// Create the pre-authentication filter
MyPreAuthFilter myPreAuthFilter = myPreAuthFilter(authenticationManager);
myPreAuthFilter.setAuthenticationManager(authenticationManager);
// configure http security
http
.csrf().disable()
.headers().addHeaderWriter(new XFrameOptionsHeaderWriter(XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN))
.and()
.authenticationProvider(authProvider)
.addFilter(myPreAuthFilter)
.authorizeRequests()
.antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
.antMatchers("/stomp/**").permitAll()
.antMatchers("/**").permitAll();
}
更新:所以我刚刚了解了 http 对象上的这个方法:
.anonymous().disable()
但是,当我使用它时,我所有的 CORS 请求再次失败。我认为问题在于预检 OPTIONS 请求。这无法进行身份验证——它需要匿名访问。因此,我认为要从跨域身份验证中获得我想要的行为,我需要禁用匿名过滤器,但这样做会破坏能够执行跨域请求的关键租户之一。啊。有人知道如何禁用除选项之外的所有请求的匿名吗?
最佳答案
输入CORS Filter 在 Web 应用程序初始化程序(或 web.xml)中的 Spring Security 过滤器链之前消除 CORS 问题(通过设置 Access-Control-Allow 来允许 REST 请求的来源) - 与您的请求来源相匹配的来源)。
然后您可以使用基于角色的授权(通过 ant 匹配器和 JSR-250 注释)。对于您提供的用例来说,禁用匿名用户似乎不是一个好主意。
关于java - Spring Security AnonymousAuthFilter 与 PreAuthenticationFilter 允许未经授权的请求,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/31433522/
24
4
0
据我所知,要将声音设置为铃声,应将其插入 MediaStore。在 MediaStore 中写入,需要 WRITE_EXTERNAL_STORAGE 权限。但是...有没有办法在不需要 WRITE_E
我只是想设置铃声。我不想授予 WRITE_SETTINGS 权限,我可以找到大部分答案来授予 WRITE_SETTINGS 权限但是我正在使用一个应用程序,该应用程序没有设置铃声的 WRITE_SET
我在 Windows 10 中以管理员身份运行 Android studio。AVD 是 Nexus 5X API 28。我正在尝试运行 flutter 演示,但设备下拉框仍然显示“无设备”,它只是有
我的应用程序构建于 spring-social-twitter允许用户使用 Twitter 登录的功能最近已停止工作。 我收到如下错误消息: Callback URL not approved for
我正在尝试使用 python-firebase 更新 Firebase库,但无法使用经过修改的示例代码进行身份验证: from firebase import firebase as fb auth
今天,当我尝试使用 GCC7 编译一个非常简单的 C++ 程序时,我遇到了一个非常奇怪的问题:程序没有向构造函数中的 vector 添加任何元素,当编译时没有优化(例如 -O0/-Og ) 来自 Re
简单问题:我正在尝试使用 Discord API 备份服务器(或公会,如果您使用官方术语)上的所有消息。 因此,我实现了 OAuth,没有任何问题,我有访问 token ,并且可以查询一些端点(我尝试
您好,我正在使用 msdn 中的以下代码供我公司内部使用: using System; public sealed class Singleton { private static volati
我们从 Google 的 GCM 服务中收到间歇性的 401 Unauthorized 错误。在过去,它 100% 的时间都有效。该问题可能与我们的路由器接受 IPv6 流量同时发生,但即使我们在适配
我有一个使用 Playwright + TS-Jest 设置 E2E 测试的项目。为了组织我的测试,我使用页面对象模型。结构看起来像这样: 我想在 tsconfig.json 中使用 TypeScri
我有一个后端应用程序在 Google Cloud Storage 中同步文件,我想在 javascript 中列出存储中的所有文件,而不需要从后端请求它们。我已经设置了 CORS,并且所有文件的 ac
我在尝试在私有(private) gitlab 存储库中发布 Artifact 时遇到问题。我正在使用 Maven 并使用个人访问 token 进行身份验证。当我运行 mvn deploy -s ~/
这是从 Google+ 登录中使用的 GoogleApiClient 获取 token 的传统方式: String token = GoogleAuthUtil.getToken(apiClient.
我在阅读 facebook Open Graph 文档后比较确定我不能让网站“订阅”公共(public)页面,除非该页面安装了我的应用程序。如果那是错误的,请告诉我。 我想做的是一个照片库,非常简单,
我是一名优秀的程序员,十分优秀!