gpt4 book ai didi

java - Spring安全重定向到状态码999的页面

转载 作者:行者123 更新时间:2023-12-02 08:46:46 29 4
gpt4 key购买 nike

成功登录后 spring 重定向到 /error包含以下内容的页面

{
"timestamp" : 1586002411175,
"status" : 999,
"error" : "None",
"message" : "No message available"
}

我正在使用spring-boot 2.2.4

我的配置:

spring.mvc.view.prefix=/WEB-INF/views/
spring.mvc.view.suffix=.jsp
spring.mvc.servlet.load-on-startup=1
spring.mvc.throw-exception-if-no-handler-found=true
spring.resources.add-mappings=false
<小时/>
@Configuration
public class DispatcherContextConfig implements WebMvcConfigurer {

@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/resources/**").addResourceLocations("/resources/");
}
}
<小时/>
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AppSecurityConfig extends WebSecurityConfigurerAdapter {

@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/favicon.ico", "/resources/**");
}

@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/**").permitAll()
.antMatchers("/registration/**").anonymous()
.anyRequest().authenticated()
.and()
.headers()
.defaultsDisabled()
.cacheControl()
.and()
.and()
.exceptionHandling()
.accessDeniedPage("/errors/403")
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/log") // I don't want to use force redirect here
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.rememberMe()
.rememberMeParameter("remember-me")
.key("myKey");

}

// ...
}

注意:

事实证明,该错误是由于对我的静态资源之一的请求失败引起的。登录页面有<script src="/resources/my-js-file.js"></script>项目中缺少这个。我可以通过删除缺少的资源导入来解决此问题,但问题可能会在将来再次出现,因此这不是解决办法。

如何防止这种情况发生?

我知道我可以使用 .defaultSuccessUrl("/log", true) 强制重定向到起始页面但我不想要这个。另外,我希望重定向能够正常工作,尽管没有找到任何资源。

最佳答案

在浪费了很多时间之后,我弄清楚发生了什么。

所以 spring 找不到登录页面上使用的静态资源之一。但它不会返回此资源的状态 404,而是尝试呈现错误页面并将请求转发到 /error。然后 Spring Security 拒绝此请求,因为用户未获得授权。它将 /error 请求保存到 session (用于成功登录后重定向)并将用户重定向到登录页面。

当然,用户看不到此重定向,因为状态 302 返回的是在后台完成的请求。但主要问题是 /error 请求保存在 session 中。

然后用户登录成功,Spring 检查 session 中是否有此属性并重定向到 /error 页面。默认spring assumes that you have such page somewhere in static resources 。如果您没有此页面,您将看到这个奇怪的错误,状态代码为 999。

解决方案1

忽略安全配置中的/error页面:

web.ignoring().antMatchers("/favicon.ico", "/resources/**", "/error");

因此登录成功后,该请求不会保存到 session 中以供用户重定向。您将看到登录页面上静态资源请求的状态码将从 302 更改为 404

解决方案2

忽略 Spring Boot 自动配置的一部分:

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.web.servlet.error.ErrorMvcAutoConfiguration

这给出了相同的结果,但禁用了配置中的一些bean ErrorMvcAutoConfiguration所以要小心。

关于java - Spring安全重定向到状态码999的页面,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/61029340/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com