SpringSecurity+CAS 明明登录了,但是在corf跨域访问后台获取用户名,得到的总是匿名用户? 80C

图片说明SpringSecurity+CAS 明明登录了,但是在corf跨域访问后台获取到的总是匿名用户 在不经过springSecurity的权限过滤器的时候 跨域是成功的 但是我需要获取到用户名 就加入了在其他与cas 连接的项目中登录了 可是就是获取不到用户名 都是 匿名用户. 在不加上面这句话的情况就出现了下图的错误  图片说明
但是从这个链接中点击进去 后项目又正常了一次 在刷新页面又要出错后点击链接才行 很烦 cas 和 springSecurity 的配置应该没有错误。。
不知道是不是 corf 的 preflight request 请求没有放行 csrf disable="true" 我也设置了

    能帮忙解决的发100红包  最好远程协助  拜托各位大佬

2个回答

我也遇到了题主的问题。一模一样。说一下我的情况。(我的情况不是bug,是自己理解错误了)

我定义了两个模块:

用户模块:localhost:9106

购物车模块:localhost:9107

需求分析:

当用户在购物车页面点击结算的时候,先调用9106的获取用户名的方法,如果获取不到用户名或匿名对象anonymousUser,则访问9107被拦截的跳板页面。

跳板页面就只有js代码,作用是在CAS单点登陆成功后返回该跳板页面,然后跳板页面执行js,跳转到购物车页面。

 <!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Title</title>
    <script type="text/javascript">
        location.href = "cart.html"; //购物车页面
    </script>
</head>
<body>
</body>
</html>

思路分析:

  • 因为在9107中,没有配置 ./springboard.html跳板页的资源放行,所以被拦截,并访问单点登陆CAS系统。
  • 登陆成功后,用户登陆的信息存储在了9107的security中。

结论:

所以,我在一开始的逻辑中,访问9106用户模块,取出用户对象,单点登陆后的用户信息根本没有存到9106中,所以一直获取到的是匿名对象

为什么有时候又可以获取?

原因是因为,我在测试这个问题的时候,访问了9106的其他方法,该方法会被security拦截,因为9106里面,没有用户登陆的信息,所以会跳转单点登录CAS系统,取出用户登陆信息。接下来在访问一开始在9106配置好的获取用户名的方法,就可以获取出来了。


以上是我遇到的问题,以及分析。不知道和题主的是否一致。

这种问题一般都比较好解决,但是如果你依赖这种框架反而不好搞了。
异常显示你的请求跨域了,你在9105端口返回的页面上向9110发请求,浏览器肯定会禁掉你的请求,这应该不是spring security的问题。有可能是csrf的设置出现问题,
解决方法,保持csrf检查关闭,并且告诉浏览器在9105端口返回的页面允许跨域。

import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/*** 处理跨域问题*/
public class CrossDomainFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {
    }

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) servletResponse;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "x-requested-with");
        filterChain.doFilter(servletRequest, servletResponse);
    }

    @Override
    public void destroy() {
    }
}

核心就是在响应头添加跨域标识,至于拦截器用tomcat的filter还是spring的拦截器都可以。

qq_19961553
_Cipher 大佬有空吗 能QQ私聊下吗
大约一年之前 回复
qq_19961553
_Cipher 我重新刷新了几次页面 sessionId 是一样的没有变
大约一年之前 回复
qq_19961553
_Cipher 应该不是 我在同一个窗口 没有清除cache 应该是一个 sessionId
大约一年之前 回复
weixin_37893887
玄尺 回复qq_19961553: 看一下sessionId,猜测sessionId也是反复循环
大约一年之前 回复
qq_19961553
_Cipher 回复weixin_37893887: 在前台第一次发送corf 请求给后台方法 能进入此方法显示匿名用户 在这个页面中另一个跨域请求中点击上方出错的链接后 在次发送第一个请求 这时奇怪的又能得到登录的用户名了 我刷新一次页面 在获取又是匿名用户 反复循环
大约一年之前 回复
qq_19961553
_Cipher 回复weixin_37893887: 我新加的图里就是 debug 的图 可以获得 名字 就是 anonymousUser 但是 这个单点登录系统都已经登录了 其他关联的项目也显示登录了 就是这个一直说我是匿名用户
大约一年之前 回复
weixin_37893887
玄尺 回复qq_19961553: 建议你把请求仔细看一下,会不会是sessionId不同
大约一年之前 回复
weixin_37893887
玄尺 回复qq_19961553: 你可以试试SecurityContextHolder.getContext().setAuthentication(authentication);,然后debug看一下上下文里到了有没有数据。
大约一年之前 回复
qq_19961553
_Cipher 跨域是没问题的 我在方法上添加了@crossorigin 可以进入这个方法错误是没法在方法中获得到 登录的用户名
大约一年之前 回复
Csdn user default icon
上传中...
上传图片
插入图片
抄袭、复制答案,以达到刷声望分或其他目的的行为,在CSDN问答是严格禁止的,一经发现立刻封号。是时候展现真正的技术了!
其他相关推荐
SpringSecurity+CAS 明明登录了,但是在corf跨域访问后台获取用户名,得到的总是匿名用户?
-
Springsecurity cas单点登录,循环重定向问题
-
springsecurity和cas 重定向
-
基于springboot,springsecurity的跨域问题
-
cas和token鉴权有什么区别
-
springsecurity 登录跳转问题?
-
SpringSecurity登录的时候一直重定向,回到登录页面
-
springSecurity如何在配置文件中配置需要放行的
-
springboot-2.1.3 springsecurity 实现remember me 报错
-
springboot2.1.1 +springsecurity+thymeleaf 模板解析问题
-
springSecurity 设置不需要登入url无效
-
springsecurity 登录,不管成功与否,都不跳转页面,一直停留在login.html
-
springsecurity的BCryptPasswordEncoder解密的疑问?
-
AccessDecisionManager的成员变量如何完成赋值的
-
SpringSecurity我开启了请求不需要认证为什么还是返回403jinz
-
springsecurity3使同一URL不能重复登录多个地址栏
-
springsecurity oauth2 整合 /oauth/token 如何返回自定义数据结构
-
springsecurity的UserDetailsService只提供一个loadUserByUsername,那如果用户名重复咋办?
-
关于springsecurity登录处理类AbstractAuthenticationProcessingFilter
-
springSecurity 的用户认证不用userDetailsService行不行,自己写一个查询用户方法。
-
学会了这些技术,你离BAT大厂不远了
每一个程序员都有一个梦想,梦想着能够进入阿里、腾讯、字节跳动、百度等一线互联网公司,由于身边的环境等原因,不知道 BAT 等一线互联网公司使用哪些技术?或者该如何去学习这些技术?或者我该去哪些获取这些技术资料?没关系,平头哥一站式服务,上面统统不是问题。平头哥整理了 BAT 等一线大厂的必备技能,并且帮你准备了对应的资料。对于整理出来的技术,如果你掌握的不牢固,那就赶快巩固,如果你还没有涉及,现在...
程序员真是太太太太太有趣了!!!
网络上虽然已经有了很多关于程序员的话题,但大部分人对这个群体还是很陌生。我们在谈论程序员的时候,究竟该聊些什么呢?各位程序员大佬们,请让我听到你们的声音!不管你是前端开发...
史上最详细的IDEA优雅整合Maven+SSM框架(详细思路+附带源码)
网上很多整合SSM博客文章并不能让初探ssm的同学思路完全的清晰,可以试着关掉整合教程,摇两下头骨,哈一大口气,就在万事具备的时候,开整,这个时候你可能思路全无 ~中招了咩~ ,还有一些同学依旧在使用eclipse或者Myeclipse开发,我想对这些朋友说IDEA 的编译速度很快,人生苦短,来不及解释了,直接上手idea吧。这篇文章每一步搭建过程都测试过了,应该不会有什么差错。本文章还有个比较优秀的特点,就是idea的使用,基本上关于idea的操作都算是比较详细的,所以不用太担心不会撸idea!最后,本文
武汉为什么进不了互联网第一梯队?
作者 |盛佳莹、张帆 本文经授权转自猎云网(ID:ilieyun) 从2011年以前双创在武汉萌芽,到现在力争互联网第四极,看武汉的互联网企业如何成长。 艰难中萌芽 2011年高考前夕,付小龙坐在宿舍里用人生第一台智能手机听广播,电台里正在讲述姚欣休学创业做出了用户量逾4亿的视频平台PPTV。 夜深人静时,仿佛有什么东西击中了付小龙的内心,“像姚欣一样‘开公司,...
我花了一夜用数据结构给女朋友写个H5走迷宫游戏
起因 又到深夜了,我按照以往在csdn和公众号写着数据结构!这占用了我大量的时间!我的超越妹妹严重缺乏陪伴而 怨气满满! 而女朋友时常埋怨,认为数据结构这么抽象难懂的东西没啥作用,常会问道:天天写这玩意,有啥作用。而我答道:能干事情多了,比如写个迷宫小游戏啥的! 当我码完字准备睡觉时:写不好别睡觉! 分析 如果用数据结构与算法造出东西来呢? ...
别再翻了,面试二叉树看这 11 个就够了~
写在前边 数据结构与算法: 不知道你有没有这种困惑,虽然刷了很多算法题,当我去面试的时候,面试官让你手写一个算法,可能你对此算法很熟悉,知道实现思路,但是总是不知道该在什么地方写,而且很多边界条件想不全面,一紧张,代码写的乱七八糟。如果遇到没有做过的算法题,思路也不知道从何寻找。面试吃了亏之后,我就慢慢的做出总结,开始分类的把数据结构所有的题型和解题思路每周刷题做出的系统性总结写在了 Github...
接班马云的为何是张勇?
上海人、职业经理人、CFO 背景,集齐马云三大不喜欢的张勇怎么就成了阿里接班人? 作者|王琳 本文经授权转载自燃财经(ID:rancaijing) 9月10日,张勇转正了,他由阿里巴巴董事局候任主席正式成为阿里巴巴董事局主席,这也意味着阿里巴巴将正式开启“逍遥子时代”。 从2015年接任CEO开始,张勇已经将阿里巴巴股价拉升了超过200%。但和马云强大的个人光环比,张勇显得尤其...
让程序员崩溃的瞬间(非程序员勿入)
今天给大家带来点快乐,程序员才能看懂。 来源:https://zhuanlan.zhihu.com/p/47066521 1. 公司实习生找 Bug 2.在调试时,将断点设置在错误的位置 3.当我有一个很棒的调试想法时 4.偶然间看到自己多年前写的代码 5.当我第一次启动我的单元测试时 ...
用Python分析2000款避孕套,得出这些有趣的结论
到现在为止,我们的淘宝教程已经写到了第四篇,前三篇分别是: 第一篇:Python模拟登录淘宝,详细讲解如何使用requests库登录淘宝pc端。 第二篇:淘宝自动登录2.0,新增Cookies序列化,教大家如何将cookies保存起来。 第三篇:Python爬取淘宝商品避孕套,教大家如何爬取淘宝pc端商品信息。 今天,我们来看看淘宝系列的第四篇 我们在上一篇的时候已经将淘宝数据爬取下来了,...
IPv6 带来的反欺诈难题,程序员该如何破解?
作者 |威胁猎人 本文转载自威胁猎人(ID:ThreatHunter) IP是互联网最基础的身份标识,也是黑灰产业发展不可或缺的底层资源支撑。如果说IPv4是一颗星球,那IPv6就是一整个宇宙,它的地址空间接近无限。本文将揭露目前黑灰产对IPv6资源的利用情况,并剖析在IPv4向IPv6升级的过程中,业务场景下的安全将面临的挑战。 黑灰产采用IPv6发起攻击的趋势不可逆转...
分享靠写代码赚钱的一些门路
作者 mezod,译者 josephchang10如今,通过自己的代码去赚钱变得越来越简单,不过对很多人来说依然还是很难,因为他们不知道有哪些门路。今天给大家分享一个精彩...
技术人员要拿百万年薪,必须要经历这9个段位
很多人都问,技术人员如何成长,每个阶段又是怎样的,如何才能走出当前的迷茫,实现自我的突破。所以我结合我自己10多年的从业经验,总结了技术人员成长的9个段位,希望对大家的职...
面试官:兄弟,说说基本类型和包装类型的区别吧
Java 的每个基本类型都对应了一个包装类型,比如说 int 的包装类型为 Integer,double 的包装类型为 Double。基本类型和包装类型的区别主要有以下 4 点。
C语言这么厉害,它自身又是用什么语言写的?
这是来自我的星球的一个提问:“C语言本身用什么语言写的?”换个角度来问,其实是:C语言在运行之前,得编译才行,那C语言的编译器从哪里来? 用什么语言来写的?如果是用C语...
面试官,不要再问我三次握手和四次挥手
三次握手和四次挥手是各个公司常见的考点,也具有一定的水平区分度,也被一些面试官作为热身题。很多小伙伴说这个问题刚开始回答的挺好,但是后面越回答越冒冷汗,最后就歇菜了。 见过比较典型的面试场景是这样的: 面试官:请介绍下三次握手 求职者:第一次握手就是客户端给服务器端发送一个报文,第二次就是服务器收到报文之后,会应答一个报文给客户端,第三次握手就是客户端收到报文后再给服务器发送一个报文,三次握手就...
一些实用的GitHub项目
最近整理了一些在GitHub上比较热门的开源项目关于GitHub,快速了解请戳这里其中涵盖了:学习教程,面试总结,实用工具,框架,机器学习等东西比较杂,要学的东西也比较多...
八大排序(C语言)
void BubbleSort();//冒泡 void SelectSort();//选择 void InsertSort();//直接插入 void ShellSort();//希尔 void HeapSort();//堆排 void QuickSort();//快排 void MegerSort();//归并 void RadixSort();//基数(桶排序) 冒泡: 1)...
为什么说 Web 开发永远不会退出历史舞台?
早在 PC 崛起之际,Web 从蹒跚学步一路走到了主导市场的地位,但是随着移动互联网时代的来临,业界曾有不少人猜测,“Web 应该被杀死,App 才是未来”。不过时间是检...
动画:用动画给面试官解释 TCP 三次握手过程
作者 | 小鹿 来源 | 公众号:小鹿动画学编程 写在前边 TCP 三次握手过程对于面试是必考的一个,所以不但要掌握 TCP 整个握手的过程,其中有些小细节也更受到面试官的青睐。 对于这部分掌握以及 TCP 的四次挥手,小鹿将会以动画的形式呈现给每个人,这样将复杂的知识简单化,理解起来也容易了很多,尤其对于一个初学者来说。 学习导图 一、TCP 是什么? TCP(Transmissio...
500行代码,教你用python写个微信飞机大战
这几天在重温微信小游戏的飞机大战,玩着玩着就在思考人生了,这飞机大战怎么就可以做的那么好,操作简单,简单上手。 帮助蹲厕族、YP族、饭圈女孩在无聊之余可以有一样东西让他们振作起来!让他们的左手 / 右手有节奏有韵律的朝着同一个方向来回移动起来! 这是史诗级的发明,是浓墨重彩的一笔,是…… 在一阵抽搐后,我结束了游戏,瞬时觉得一切都索然无味,正在我进入贤者模式时,突然想到,如果我可以让更多人已不同的方式体会到这种美轮美奂的感觉岂不美哉? 所以我打开电脑,创建了一个 `plan_game.py`……
相关热词 c#怎么调用api接口 c# 调用mstsc c#扩展函数 c#向上转换向下转换 c#chart直方图叠加 c# 添加body样式 c# 调用接口 c#高德地图经纬度查询 c# 测试并发 c# 取操作系统