authentication - Spring 安全: Bypass login form-6ren

authentication - Spring 安全: Bypass login form

转载作者：行者123 更新时间：2023-12-04 04:07:56

我想在某些情况下绕过Spring webflow(Spring 2.0.5)应用程序的登录表单(因此该登录表单是为普通用户提供的，但是当URL像http://server.com/myspringapp/fakelogin?username=FakeUser&password=FakePassword时，不应向用户显示该登录表单，而只是向用户显示根据请求参数在内部进行身份验证，然后转到安全页面)。

因此，我不希望进行预身份验证，而希望在特殊情况下进行透明身份验证(当URL如上所述时)。我看到了诸如http://forum.springsource.org/showthread.php?t=59108之类的线程，但未提及解决方案。我尝试实现AuthenticationProcessingFilter，但不太确定如何实现requireAuthentication()方法。

以下是我当前的安全性XML:

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:security="http://www.springframework.org/schema/security"
    xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd
                        http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.xsd">

    <bean id="customAuthenticationProvider" class="com.myco.jsf.spring.security.MyAuthenticationProvider">
        <security:custom-authentication-provider/>
        <constructor-arg>
            <ref bean="webSessionFactory"/>
        </constructor-arg>
        <constructor-arg>
            <ref bean="authenticationBridge"/>
        </constructor-arg>
    </bean>

    <bean id="myEntryPoint" class="com.myco.web.filter.CustomAuthenticationEntryPoint">
        <property name="loginFormUrl" value="/spring/login" />
    </bean>

    <bean id="myProcessingFilter" class="com.myco.web.filter.CustomAuthenticationProcessingFilter">
        <security:custom-filter position="AUTHENTICATION_PROCESSING_FILTER" />
        <property name="defaultTargetUrl" value="/spring/secure" /> 
        <property name="authenticationFailureUrl" value="/spring/login" />
        <property name="alwaysUseDefaultTargetUrl" value="false" />
        <property name="filterProcessesUrl" value="/spring/j_spring_security_check" />    
        <property name="authenticationManager" ref="authenticationManager" />            
        <!--             
        <property name="allowSessionCreation" value="true" />                
         -->
    </bean>    

    <security:authentication-manager alias="authenticationManager"/>

        <security:http auto-config="false" access-denied-page="/spring/notpermitted" entry-point-ref="myEntryPoint">       
        <security:anonymous/>
        <!--     
        <security:form-login login-page="/spring/login" login-processing-url="/spring/j_spring_security_check" default-target-url="/spring/secure" 
            always-use-default-target="false" authentication-failure-url="/spring/login" />
         -->
        <security:logout logout-url="/spring/j_spring_security_logout" logout-success-url="/spring/pages/logout" />
        </security:http>

</beans>

以下是我的过滤器类:

public class CustomAuthenticationProcessingFilter extends
        AuthenticationProcessingFilter {

    @Override
    protected void successfulAuthentication(HttpServletRequest request,
            HttpServletResponse response, Authentication authResult)
            throws IOException, ServletException {
        super.successfulAuthentication(request, response, authResult);

        System.out.println("==successful login==");
    }

    @Override
    protected void unsuccessfulAuthentication(HttpServletRequest request,
            HttpServletResponse response, AuthenticationException failed)
            throws IOException, ServletException {
        super.unsuccessfulAuthentication(request, response, failed);

        System.out.println("==failed login==");
    }

    @Override
    protected boolean requiresAuthentication(HttpServletRequest request,
            HttpServletResponse response) {
        boolean retVal = false;
        String username = request.getParameter("j_username");
        String password = request.getParameter("j_password");

        if (username != null && password != null) {
            Authentication authResult = null;
            try {
                authResult = attemptAuthentication(request);                
                if (authResult == null) {
                    retVal = false;
                }

            } catch (AuthenticationException failed) {
                try {
                    unsuccessfulAuthentication(request, response, failed);
                } catch (Exception e) {
                    retVal = false;
                }
                retVal = false;
            }

            try {
                successfulAuthentication(request, response, authResult);
            } catch (Exception e) {
                retVal = false;
            }

            return false;
        } else {
            retVal = super.requiresAuthentication(request, response);
        }
        return retVal;
    }

}

我能够使用提供的请求参数进行身份验证，并且身份验证对象已成功创建。一旦过滤器前进，我就会得到异常:

15:29:08,734 INFO  [STDOUT] 53453 ERROR [http-127.0.0.1-8080-2]     org.ajax4jsf.webapp.BaseXMLFilter     - Exception in the filter chain
org.springframework.web.util.NestedServletException: Request processing failed; nested exception is java.lang.IllegalStateException
    at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:659)
    at org.springframework.web.servlet.FrameworkServlet.doGet(FrameworkServlet.java:552)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:617)
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:717)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:290)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
    at org.ajax4jsf.webapp.BaseXMLFilter.doXmlFilter(BaseXMLFilter.java:206)
    at org.ajax4jsf.webapp.BaseFilter.handleRequest(BaseFilter.java:290)
    at org.ajax4jsf.webapp.BaseFilter.processUploadsAndHandleRequest(BaseFilter.java:388)
    at org.ajax4jsf.webapp.BaseFilter.doFilter(BaseFilter.java:515)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
    at com.myco.jsf.filter.CharsetFilter.doFilter(CharsetFilter.java:38)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:378)
    at org.springframework.security.intercept.web.FilterSecurityInterceptor.invoke(FilterSecurityInterceptor.java:109)
    at org.springframework.security.intercept.web.FilterSecurityInterceptor.doFilter(FilterSecurityInterceptor.java:83)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.ui.SessionFixationProtectionFilter.doFilterHttp(SessionFixationProtectionFilter.java:67)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.ui.ExceptionTranslationFilter.doFilterHttp(ExceptionTranslationFilter.java:101)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.providers.anonymous.AnonymousProcessingFilter.doFilterHttp(AnonymousProcessingFilter.java:105)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.wrapper.SecurityContextHolderAwareRequestFilter.doFilterHttp(SecurityContextHolderAwareRequestFilter.java:91)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.ui.AbstractProcessingFilter.doFilterHttp(AbstractProcessingFilter.java:278)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.ui.logout.LogoutFilter.doFilterHttp(LogoutFilter.java:89)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.context.HttpSessionContextIntegrationFilter.doFilterHttp(HttpSessionContextIntegrationFilter.java:235)
    at org.springframework.security.ui.SpringSecurityFilter.doFilter(SpringSecurityFilter.java:53)
    at org.springframework.security.util.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:390)
    at org.springframework.security.util.FilterChainProxy.doFilter(FilterChainProxy.java:175)
    at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:237)
    at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:167)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
    at org.jboss.web.tomcat.filters.ReplyHeaderFilter.doFilter(ReplyHeaderFilter.java:96)
    at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:235)
    at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:206)
    at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:230)
    at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:173)
    at org.jboss.web.tomcat.security.SecurityAssociationValve.invoke(SecurityAssociationValve.java:182)
    at org.jboss.web.tomcat.security.JaccContextValve.invoke(JaccContextValve.java:84)
    at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:128)
    at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:104)
    at org.jboss.web.tomcat.service.jca.CachedConnectionValve.invoke(CachedConnectionValve.java:157)
    at org.apache.catalina.authenticator.SingleSignOn.invoke(SingleSignOn.java:393)
    at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:109)
    at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:241)
    at org.apache.coyote.http11.Http11Processor.process(Http11Processor.java:844)
    at org.apache.coyote.http11.Http11Protocol$Http11ConnectionHandler.process(Http11Protocol.java:583)
    at org.apache.tomcat.util.net.JIoEndpoint$Worker.run(JIoEndpoint.java:447)
    at java.lang.Thread.run(Thread.java:619)
Caused by: java.lang.IllegalStateException
    at org.apache.catalina.connector.ResponseFacade.sendError(ResponseFacade.java:407)
    at javax.servlet.http.HttpServletResponseWrapper.sendError(HttpServletResponseWrapper.java:108)
    at org.springframework.security.context.HttpSessionContextIntegrationFilter$OnRedirectUpdateSessionResponseWrapper.sendError(HttpSessionContextIntegrationFilter.java:498)
    at javax.servlet.http.HttpServletResponseWrapper.sendError(HttpServletResponseWrapper.java:108)
    at org.ajax4jsf.webapp.FilterServletResponseWrapper.sendError(FilterServletResponseWrapper.java:655)
    at com.sun.facelets.FaceletViewHandler.handleFaceletNotFound(FaceletViewHandler.java:711)
    at com.sun.facelets.FaceletViewHandler.renderView(FaceletViewHandler.java:658)
    at org.ajax4jsf.application.ViewHandlerWrapper.renderView(ViewHandlerWrapper.java:100)
    at org.ajax4jsf.application.AjaxViewHandler.renderView(AjaxViewHandler.java:176)
    at org.springframework.faces.mvc.JsfView.renderMergedOutputModel(JsfView.java:83)
    at org.springframework.web.servlet.view.AbstractView.render(AbstractView.java:250)
    at org.springframework.web.servlet.DispatcherServlet.render(DispatcherServlet.java:1060)
    at org.springframework.web.servlet.DispatcherServlet.doDispatch(DispatcherServlet.java:798)
    at org.springframework.web.servlet.DispatcherServlet.doService(DispatcherServlet.java:716)
    at org.springframework.web.servlet.FrameworkServlet.processRequest(FrameworkServlet.java:647)
    ... 61 more

您能为我提供为什么会出现此错误的信息吗？我是否使用了正确类型的自定义过滤器？感谢您的帮助。

最佳答案

我对Spring Security 3做过类似的事情，我认为旧版本也应该可行。我已经修改了代码，因此适合您的情况。您可能需要制定一些细节，但是它应该为您提供基本的想法。

您可以使用过滤器进行处理:

public class MyAuthenticationFilter extends DelegatingFilterProxy
{
    public void doFilter ...
    {
            String username = request.getParameter("username");
            String password = request.getParameter("password");

            // build authentication token for user
            final Authentication auth = new UsernamePasswordAuthenticationToken(...);
            auth.setAuthenticated(true);

            // set authentication in context
            SecurityContextHolder.getContext().setAuthentication(auth);
    }

在您的web.xml中:

<filter>
    <filter-name>myAuthenticationFilter</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>myAuthenticationFilter</filter-name>
    <url-pattern>/fakelogin*</url-pattern>
</filter-mapping>

在您的spring.xml中:

<bean id="myAuthenticationFilter" class=... />

另一种选择是允许所有用户访问fakeLogin

<intercept-url pattern="/fakelogin/**" access="permitAll" />

并将身份验证放入Web Flow Action中的安全上下文中。

关于authentication - Spring 安全: Bypass login form，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/3830571/

文章推荐： ios - 自从 Lottie 3.0 更新以来，setAnimation 发生了变化吗？

文章推荐： fullcalendar - Fullcalendar 的彩色周末

文章推荐： django - 相同的字段，Django模型子类中的不同选择

文章推荐： react-native - React Native TextInput没有获得焦点

login - xrdp_mm_process_login_response : login failed
嗨，我试图在亚马逊服务托管的计算机上远程登录。这是ubuntu 64位机器。一开始，我能够使用客户端、远程桌面连接 (RDP) 登录计算机，并保持默认端口 (-1)，而对于命令行，我使用 putty
login - Jenkins "Invalid Login Information"
我已将 Jenkins 设置为使用 Unix 用户/组数据库安全性，但除了运行 Jenkins 服务的用户之外，我无法使用我创建的任何用户登录。通过 ssh 或 su 登录服务器可以工作，但是当我尝试
powershell - Powershell : Run Login-AzureRmAccount to login
我想通过 power shell 使用以下命令在 azure 中创建一个新的资源组: New-AzureRmResourceGroup - Name name -Location "WesternEu
Spring重定向发生在 "http://...../login"而不是 "https://...../login"
我已经部署了由 spring boot 应用程序使用 oauth2 生成的 war 文件，以便使用 Azure 应用服务进行单点登录(仅限 https)。当我浏览主页时，主页会加载一个登录按钮。单击
Spring重定向发生在 "http://...../login"而不是 "https://...../login"
我已经部署了由 spring boot 应用程序使用 oauth2 生成的 war 文件，以便使用 Azure 应用服务进行单点登录(仅限 https)。当我浏览主页时，主页会加载一个登录按钮。单击
python - ImportError at/login 没有名为 login 的模块
我尝试按照一些 django 教程来创建登录名，但我一直在获取 ImportError at /login No module named login 我的文件结构是: -src -log
java - 为什么/login?logout 会重定向到/login？
在我的 Spring 项目中，我将注销目标 url 设置为“/login?logout”以显示登录页面并显示消息“您现在已注销”。在 Spring Security 配置中，我这样做了: @Over
Python CGI 内部错误 login.html login.cgi
我目前正在尝试为我在带有 Ubuntu 的虚拟机上运行的实际本地网页创建一个简单的登录页面。我创建了 LoginPage.html在位置 /var/www/html . 然后 HTML 文件调用 l
java - Redirect from CustomLogoutHandler to 'login?logout' 被重定向到 'login'
我有两个安全区域，我为其提供基于表单的登录。 /用户 /admin 以下按预期工作: 访问 protected 资源时重定向到登录页面当凭据为假时使用 ?error 参数重定向到登录页面根据定义的
Use SQL Login for Synchronizing AG Logins(使用SQL登录同步AG登录)
我有一个脚本，我通常用来同步AG登录。但是，我需要使用SQL凭据和密码将其实现为自动运行。有人知道我如何调整下面的脚本以使用SQL登录和密码吗？
python - Flask-Login @login-required 装饰器在 session 过期后不会重定向到登录页面
更新下面的 Flask 重定向(响应代码 302)似乎作为对 _dash-update-component 的响应传递。要求: b'\nRedirecting...\nRedirecting...\
python - 错误 : 'login' not found. 'login' 不是有效的 View 函数或模式名称
这是我第一次使用 Django 登录模板，但遇到了问题。它一直说 login 不是一个有效的 View 函数，但我在我的用户应用程序的 urls.py 中定义了它: 不知道我做错了什么。主 urls
python ( Selenium ): how to login to a website with a login redirect/organization sign on
我不是专业程序员，所以请原谅任何愚蠢的错误——我正在做一些研究，我正在尝试使用 Selenium 登录数据库以搜索大约 1000 个术语。我有两个问题:1. 重定向到组织登录页面后如何使用 Sele
flutter : Not getting code while Instagram login (Instagram login not working)
我正在使用 flutter，我想在我的应用程序中实现使用 Instagram 登录。所以我关注这个tutorial用于 Instagram 登录，我成功登录但未获取用户详细信息，它正在打开重定向 U
php - [Route : login] [URI: {locale}/login] when i redirect as a guest 缺少必需的参数
每当我以访客身份重定向时，我都会收到错误消息: Missing required parameters for [Route: login] [URI: {locale}/login]. 但是当我登录
azure - `az devops login` 和 `az login` 仍然请求个人访问 token
我已开始使用 Azure Pipelines 和 GitHub 支持的帐户并创建了我的第一个组织。我在该组织中没有任何项目。我在 portal.azure.com 上也没有任何订阅。我想使用 Azur
Django 错误 : Reverse for 'login' not found. 'login' 不是有效的 View 函数或模式名称
它给出错误:找不到“登录”的反向。 “登录”不是有效的 View 函数或模式名称。网址.py urlpatterns = [ path('admin/', admin.site.urls),
ruby-on-rails - 哪个更适合 Rails 站点？/{login} 或/user/{login}
关闭。这个问题是opinion-based .它目前不接受答案。想改善这个问题吗？更新问题，以便可以通过 editing this post 用事实和引文回答问题. 2年前关闭。 Improve t
javascript - 改造 Facebook fb :login-button into SDK javascript login
我需要一个自定义的 Facebook 登录按钮。 fb:login-button 的 medium、large 等解决方案不是我需要的。我知道 FB TOS。我的按钮将非常相似。如何将我的按钮转换为
login - Spring 安全 : Cannot access target page even after successful login
Spring 版: 2.5.6 SEC01 Spring 安全版本: 3.0.0 RC1 我正在尝试将 Spring Security 与 Spring MVC 应用程序集成。安全部分主要基于 Spr

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

authentication - Spring 安全: Bypass login form