spring security3拦截器问题

未登录系统的情况下，第一次访问页面会跳转到登录页面，第二次访问就能够访问
配置如下：

 <http entry-point-ref="loginAuthenticationEntryPoint" >
        <!-- UsernamePasswordAuthenticationFilter 
        default-target-url 指定了从登录页面登录后进行跳转的页面 always-use-default-target true表示登录成功后强制跳转 
        authentication-failure-url 表示验证失败后进入的页面 login-processing-url 设置验证登录验证地址，如果不设置，默认是j_spring_security_check 
        username-parameter,password-parameter 设置登录用户名和密码的请求name，默认：j_username,j_password 
        <form-login login-page="/login" 
            default-target-url="/index" authentication-failure-url="/login?error=1" login-processing-url="/logined" 
            username-parameter="loginUser" password-parameter="password" /> -->
        <logout  logout-success-url="/login" invalidate-session="true" delete-cookies="JSESSIONID"/>
        <!-- 尝试访问没有权限的页面时跳转的页面 -->
        <access-denied-handler error-page="/permission" />
        <!-- session-fixation-protection session固化保护
        none使得 session 固化攻击失效，不会配置 SessionManagementFilter （除非其它的 <session-management> 属性不是默认值）
        migrateSession当用户经过认证后分配一个新的 session ，它保证原 session 的所有属性移到新 session 中。我们将在后面的章节中讲解，通过基于 bean 的方式如何进行这样的配置。
        newSession当用户认证后，建立一个新的 session ，原（未认证时） session 的属性不会进行移到新 session 中来。-->
        <session-management invalid-session-url="/login"
            session-authentication-strategy-ref="compositeSessionAuthenticationStrategy" />
        <custom-filter position="FORM_LOGIN_FILTER" ref="formloginFilter" />
        <custom-filter position="CONCURRENT_SESSION_FILTER" ref="concurrencyFilter" />
        <!-- 增加一个filter，这点与 Acegi是不一样的，不能修改默认的filter了， 这个filter位于FILTER_SECURITY_INTERCEPTOR之前 -->
        <custom-filter before="FILTER_SECURITY_INTERCEPTOR" ref="myFilter" />
    </http>
    <!-- ConcurrentSessionFilter过滤器配置(主要设置账户session过期路径) 并发会话处理包所需要的过滤器。该过滤器具有双重作用。 
        首先，它会调用sessionregistry.refreshlastrequest为每个请求注册session总是有一个正确的最后更新时间。
         第二，它会为每个请求从sessionregistry中获取sessioninformation并且检查session是否已被标记为已过期。 
        如果它被标记为已过期，配置注销处理程序将被调用（如同logoutfilter）,重定向到指定的expiredurl，session失效将导致httpsessiondestroyedevent被触发 
        通过在web.xml注册httpsessioneventpublisher。 -->
    <beans:bean id="concurrencyFilter"
        class="org.springframework.security.web.session.ConcurrentSessionFilter">
        <beans:property name="sessionRegistry" ref="sessionRegistry" />
        <beans:property name="expiredUrl" value="/login" />
    </beans:bean>
    <!-- 登录过滤器(相当于<form-login/>) -->
    <beans:bean id="formloginFilter"
        class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
        <beans:property name="usernameParameter" value="loginUser"></beans:property>
        <beans:property name="passwordParameter" value="password"></beans:property>
        <beans:property name="sessionAuthenticationStrategy"
            ref="compositeSessionAuthenticationStrategy" />
        <!--处理登录的action -->
        <beans:property name="filterProcessesUrl" value="/logined"></beans:property>
        <!--验证成功后的处理 -->
        <beans:property name="authenticationSuccessHandler"
            ref="loginLogAuthenticationSuccessHandler"></beans:property>
        <!--验证失败后的处理 -->
        <beans:property name="authenticationFailureHandler"
            ref="simpleUrlAuthenticationFailureHandler"></beans:property>
        <beans:property name="authenticationManager" ref="authenticationManager"></beans:property>
    </beans:bean>

    <!-- 混合session授权策略 -->
    <beans:bean id="compositeSessionAuthenticationStrategy"
        class="org.springframework.security.web.authentication.session.CompositeSessionAuthenticationStrategy">
        <beans:constructor-arg>
            <beans:list>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.ConcurrentSessionControlAuthenticationStrategy">
                    <beans:constructor-arg ref="sessionRegistry" />
                    <beans:property name="maximumSessions" value="1" />
                    <beans:property name="exceptionIfMaximumExceeded"
                        value="true" />
                </beans:bean>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.SessionFixationProtectionStrategy">
                </beans:bean>
                <beans:bean
                    class="org.springframework.security.web.authentication.session.RegisterSessionAuthenticationStrategy">
                    <beans:constructor-arg ref="sessionRegistry" />
                </beans:bean>
            </beans:list>
        </beans:constructor-arg>
    </beans:bean>

    <!--SessionRegistry的默认实现，它会在spring应用上下文中监听SessionDestroyedEvents事件 -->
    <beans:bean id="sessionRegistry"
        class="org.springframework.security.core.session.SessionRegistryImpl" />


    <!-- 登录点 -->
    <beans:bean id="loginAuthenticationEntryPoint"
        class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint">
        <beans:property name="loginFormUrl" value="/login"></beans:property>
    </beans:bean>
    <!-- 验证成功后的处理 -->
    <beans:bean id="loginLogAuthenticationSuccessHandler"
        class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
        <beans:property name="defaultTargetUrl" value="/index"></beans:property>
    </beans:bean>
    <!-- 验证失败后的处理 -->
    <beans:bean id="simpleUrlAuthenticationFailureHandler"
        class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
        <!--可以配置相应的跳转方式。属性forwardToDestination为true采用forward false为sendRedirect -->
        <beans:property name="defaultFailureUrl" value="/login?error=1"></beans:property>
    </beans:bean>
    <!-- 一个自定义的filter，必须包含 authenticationManager,accessDecisionManager,securityMetadataSource三个属性， 
        我们的所有控制将在这三个类中实现，解释详见具体配置 -->
    <beans:bean id="myFilter"
        class="com.sanchuan.erp.security.MyFilterSecurityInterceptor">
        <beans:property name="authenticationManager" ref="authenticationManager" />
        <beans:property name="accessDecisionManager" ref="myAccessDecisionManagerBean" />
        <beans:property name="securityMetadataSource" ref="mySecurityMetadataSource" />
    </beans:bean>
    <!-- 验证配置 ， 认证管理器，实现用户认证的入口，主要实现UserDetailsService接口即可 -->
    <authentication-manager alias="authenticationManager">
        <authentication-provider user-service-ref="myUserDetailsService">
            <!-- <s:password-encoder hash="sha" /> -->
        </authentication-provider>
    </authentication-manager>
    <!-- 项目实现的用户查询服务,将用户信息查询出来 -->
    <beans:bean id="myUserDetailsService"
        class="com.sanchuan.erp.security.MyUserDetailService">
        <beans:property name="userService" ref="userServiceImpl"></beans:property>
        <beans:property name="roleService" ref="roleServiceImpl"></beans:property>
    </beans:bean>
    <!-- 访问决策器，决定某个用户具有的角色，是否有足够的权限去访问某个资源 -->
    <beans:bean id="myAccessDecisionManagerBean"
        class="com.sanchuan.erp.security.MyAccessDecisionManager">
    </beans:bean>
    <!-- 资源源数据定义，将所有的资源和权限对应关系建立起来，即定义某一资源可以被哪些角色访问 -->
    <beans:bean id="mySecurityMetadataSource"
        class="com.sanchuan.erp.security.MyInvocationSecurityMetadataSourceService">
    </beans:bean>

写回答
好问题 0 提建议
追加酬金
关注问题
分享
邀请回答
编辑收藏删除结题
收藏举报

1条回答

关注

码龄粉丝数原力等级 --

被采纳

被点赞

采纳率
baidu_26208223 2015-02-28 00:46
关注
......顶起......

解决无用
评论打赏
分享
举报

评论

按下Enter换行，Ctrl+Enter发表内容

报告相同问题？

关注问题

SpringSecurity permitAll方式放行资源无效 java spring boot 后端
2022-05-06 20:14

回答 3 已采纳 configure(HttpSecurity http)中配置放行，那还是会走spring security拦截链的， configure(WebSecurity web)中去配置放行，那才是真的放行
Spring Security自定义AccessDeniedHandler配置后不生效 java spring 后端
2022-05-09 09:09

回答 3 已采纳根据楼上提示，在ExceptionTranslationFilter源码中有如下代码 private void handleAccessDeniedException(HttpServletR
关于Spring boot + SpringSecurity +jwt token失效的问题 maven spring
2019-12-11 17:33

回答 2 已采纳 jwt的非对称加密是通过私钥签名，公钥验签的，因为服务端没有存储，jwt一旦签发，只要没过期就可以一直使用的，除非你把jwt也存redis里面再进行一次拦截判断
基于springSecurity整合jwt拦截器部署
2022-10-25 09:52

爱酒的懒猫か的博客 springboot整合springsecurity和jwt的拦截器部署
拦截器的霸哥Security的UsernamePasswordAuthenticationToken请各位看下 java spring boot
2021-10-24 21:32

回答 3 已采纳 catch语句里面添加e.printStack,看一下
SpringBoot文件下载请求拦截器报错：
2018-10-02 14:47

回答 2 已采纳打扰了，请求写错了，sorry...
springcloud gateway可以配置黑名单吗 java spring 开发语言
2020-12-03 22:12

回答 2 已采纳我之前在gateway中配置黑名单是用的spring的过滤器，或者spring security来做，这部分可以在gateway部分加一个过滤器OncePerRequestFilter，在这个里面去加
Spring Security默认拦截器链解析（十三）
2021-07-14 14:17

欢谷悠扬的博客 1.SessionManagementFilter 会话管理器见名知意，会话管理器。主要是管理SecurityContext到会话中去。主要内容： 1.防止重复执行 2.sessionAuthenticationStrategy session认证处理策略 ...
【黑马微服务项目】畅购/学成 Oauth2 部分内容求解 java spring boot spring cloud
2022-05-18 11:04

回答 5 已采纳需要传的是clientid吧。loadClientByClientId(JdbcClientDetailsService.java:122)这行代码看下。
如何在springboot自定义拦截器（切面类）中获取数据库连接对象执行自己拼接的sql java
2020-07-19 12:16

回答 4 已采纳 https://www.cnblogs.com/d0usr/p/12448639.html
oauth2 的资源服务器获取不到用户信息怎么办 java spring spring cloud
2022-06-22 11:24

回答 1 已采纳资源服务器不需要存token，可以通过认证服务器的接口去check token，如果是jwt token，也可以通过去认证服务拉取jwt的配置，自行解析jwt也是可以的，本质上还是一样，资源服务器不存
SpringSecurity拦截器入门教程
2022-07-28 08:58

qq_51586023的博客 SpringSecurity拦截器入门教程，手把手教程
springboot一定要使用安全框架吗？ java spring spring boot
2023-01-09 12:00

回答 2 已采纳 Spring Boot框架本身并没有要求一定要使用安全框架来保护应用程序。如果使用jwt和自定义过滤器实现接口拦截过滤，就可以在一定程度上保护你的应用程序。但是，使用安全框架可以让你更方便地实现应用程
一个注解搞定Spring Security 忽略拦截
2022-12-20 10:19

小魏小魏我们去那里呀的博客一个注解搞定spring-security忽略拦截, 减少开发硬编码配置
Spring Security安全拦截基础实现
2022-11-21 19:09

最爱香泡泡的博客 Spring Security是基于Spring的一个安全管理框架。它相比Shiro，它的功能更丰富，社区资源也比Shiro更丰富！一：Spring Security授权认证登录实现 1.导入Maven依赖 org.springframework.boot spring-boot-starter-...
没有解决我的问题, 去提问

悬赏问题

¥15 kafka 分区副本增加会导致消息丢失或者不可用吗？
¥15 微信公众号自制会员卡没有收款渠道啊
¥15 stable diffusion
¥100 Jenkins自动化部署—悬赏100元
¥15 关于#python#的问题：求帮写python代码
¥20 MATLAB画图图形出现上下震荡的线条
¥15 关于#windows#的问题：怎么用WIN 11系统的电脑克隆WIN NT3.51-4.0系统的硬盘
¥15 perl MISA分析p3_in脚本出错
¥15 k8s部署jupyterlab，jupyterlab保存不了文件
¥15 ubuntu虚拟机打包apk错误