skr_BoyScar 2020-05-22 12:08 采纳率: 0%
浏览 1053

Spring Security放行有点问题

我做了2种 登陆方式 1 种普通登陆1 种 人脸识别 第一种接受一个Username
第二种是base64编码的图片 但是S S 无法识别 这个业务 登陆传到controller但是还是没办法
骗过ss 有没有老铁 想个 办法 骗过 认证机制呢

  /*
     * face模块
     * */
    @RequestMapping(value = "/loginByFace", method = RequestMethod.POST)
    public Result loadUserByUsername() {

    /*    List list = new ArrayList();
        list.add(new SimpleGrantedAuthority("ROLE_ADMIN"));     //
        org.springframework.security.core.userdetails.User u = new org.springframework.security.core.userdetails.User("admin", "{noop}" + "admin", list);
        return u;*/

        return null;
    }



<!-- 放行静态资源-->
<security:http security="none" pattern="/login.html" />
    <security:http security="none" pattern="/pages/loginbyface.html" />

    <security:http security="none" pattern="/css/**" />
    <security:http security="none" pattern="/js/**" />
    <security:http security="none" pattern="/plugins/**" />
    <security:http security="none" pattern="/img/**" />


    <!-- auto-config:自动配置,如果设置为true,表示自动应用一些默认配置,比如框架会提供一个默认的登录页面  use-expressions:是否使用spring security提供的表达式来描述权限 -->
    <security:http auto-config="true" use-expressions="true">
        <!--配置拦截规则,/** 表示拦截所有请求-->
        <!-- pattern:描述拦截规则 asscess:指定所需的访问角色或者访问权限-->
        <!--只要认证通过就可以访问-->
        <security:intercept-url pattern="/pages/**"  access="isAuthenticated()" />

        <security:headers>
            <!--设置在页面可以通过iframe访问受保护的页面,默认为不允许访问-->
            <security:frame-options policy="SAMEORIGIN"></security:frame-options>
        </security:headers>
        <!-- 指定登陆页面访问的URL   定义登陆表单的信息配置   登陆页面输入框的名称 成功跳转页面 失败跳转页面 -->
        <security:form-login login-page="/login.html"
                             username-parameter="username"
                             password-parameter="password"
                             login-processing-url="/login.do"
                             default-target-url="/pages/main.html"
                             authentication-failure-url="/login.html"
        />
        <!-- 启动自定义页面-->
        <security:csrf disabled="true"></security:csrf>

        <!--
           logout:退出登录
           logout-url:退出登录操作对应的请求路径
           logout-success-url:退出登录后的跳转页面
         -->
        <security:logout logout-url="/logout.do"
                         logout-success-url="/login.html" invalidate-session="true"/>

    </security:http>

    <!--配置认证管理器-->
    <security:authentication-manager>
        <!--配置认证提供者-->
        <security:authentication-provider user-service-ref="springSecurityUserService">
            <!--指定度密码进行加密的对象-->
            <security:password-encoder ref="passwordEncoder"></security:password-encoder>
        </security:authentication-provider>
    </security:authentication-manager>

    <!--配置密码加密对象-->
    <bean id="passwordEncoder"
          class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

    <!--开启注解方式权限控制-->
    <security:global-method-security pre-post-annotations="enabled" />

</beans>
  • 写回答

1条回答 默认 最新

  • Motivation丶R 2020-05-22 18:18
    关注

    我感觉可以重写一个tokenGranter,用你的faceId去认证登录

    评论

报告相同问题?

悬赏问题

  • ¥15 DIFY API Endpoint 问题。
  • ¥20 sub地址DHCP问题
  • ¥15 delta降尺度计算的一些细节,有偿
  • ¥15 Arduino红外遥控代码有问题
  • ¥15 数值计算离散正交多项式
  • ¥30 数值计算均差系数编程
  • ¥15 redis-full-check比较 两个集群的数据出错
  • ¥15 Matlab编程问题
  • ¥15 训练的多模态特征融合模型准确度很低怎么办
  • ¥15 kylin启动报错log4j类冲突