-
请教Spring Security验证问题5
请问一下,我使用Spring Security配置2个角色,
一个
ROLE_TEST 另一个为 ROLE_ADMIN
权限设置了
ROLE_TEST 不能访问 /admin/test.action
而 ROLE_ADMIN 则全部可以通过
————————————————————————————————
问题如下:
当我使用 ROLE_TEST登陆入去后,进行/admin/test.action 则spring security抛出一个没权限的异常,进行配置的没权限访问提示页面。
但是我退出登陆后,用 ROLE_ADMIN角色进入,访问同样资源,很奇怪,也是显示没权限。
我发现,当过段时间,或换另一台计算是,ROLE_ADMIN是可以访问那个资源的,我怀疑是Spring Security的session问题,还保存了
没权限时的信息,就是logout后,那些信息还没清除,要等session过期或换其它电脑就可以。
请问一下,像这种情况如何处理。?
问题补充:jobar 写道session-management 配置session-fixation-protection=newSession了吗?
这个还没配置,我先试试,先谢谢~
问题补充:jobar 写道session-management 配置session-fixation-protection=newSession了吗?
忘记了说,我的是spring security2.05喔,有这个配置项吗
问题补充:jobar 写道引用忘记了说,我的是spring security2.05喔,有这个配置项吗
2.05不太清楚。3.0肯定有
有这个配置,配置如下:
<sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager"
servlet-api-provision="false"
access-denied-page="/html/error_page_access_denied.html"
session-fixation-protection="newSession" >
<!-- 无需进行权限验证的路径 -->
<!-- sec:intercept-url pattern="/admin/*" filters="none" -->
<sec:intercept-url pattern="/admin/admin!login.action" filters="none" />
<sec:intercept-url pattern="/template/*" filters="none" />
<!-- login-page 登录页面 -->
<!-- default-target-url 登录成功后跳转的URL -->
<!-- always-use-default-target 是否登录后必须访问default-target-url -->
<!-- authentication-failure-url 登录失败后跳转的URL -->
<sec:form-login
login-page="/admin/admin!login.action"
login-processing-url="/admin/loginVerify"
default-target-url="/admin/admin!main.action"
authentication-failure-url="/admin/admin!login.action"
always-use-default-target="true" />
<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
<sec:concurrent-session-control max-sessions="1"/>
</sec:http>
问题补充:jobar 写道2.0.5是有的,请参考:http://static.springsource.org/spring-security/site/docs/2.0.x/reference/appendix-namespace.html#session-fixation-protection
还是不行呢。
问题补充:jobar 写道<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
invalidate-session="false" 这个为什么要配false?
这个我改为 invalidate-session="true" 还是不行2012年4月09日 13:00
添加评论
关注(0)5个答案 按时间排序 按投票排序
-
<sec:logout invalidate-session="false" logout-success-url="/admin/admin!login.action" logout-url="/admin/logout" />
invalidate-session="false" 这个为什么要配false?2012年4月09日 15:29
-
2.0.5是有的,请参考:http://static.springsource.org/spring-security/site/docs/2.0.x/reference/appendix-namespace.html#session-fixation-protection
2012年4月09日 15:20
相关推荐
Spring Security 是一个基于 Java 的安全框架,旨在提供身份验证、授权和访问控制等功能。下面是 Spring Security 的主要知识点: 一、身份验证(Authentication) 身份验证是指对用户身份的验证,以确保用户的...
SpringBoot+SpringSecurity处理Ajax登录请求问题 SpringBoot+SpringSecurity处理Ajax登录请求问题是SpringBoot开发中的一個常见问题,本文将详细介绍如何使用SpringBoot+SpringSecurity处理Ajax登录请求问题。 ...
- 默认情况下,Spring Security 开启了跨站请求伪造(CSRF)防护,通过生成并验证CSRF令牌,防止恶意第三方发起未经授权的操作。 6. **表达式式语言**: - Spring Security 使用一种强大的表达式语言(EL),如`...
Spring Security是一个功能强大、高度定制的安全框架,它专门用于为基于Spring的应用程序提供安全性解决方案。Spring Security架构的设计初衷是为了解决认证和授权的需求,确保应用程序的安全性。它提供了全面的安全...
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
Spring Security 是一个强大的安全框架,用于为Java应用提供身份验证和授权服务。在这个完整的项目实例中,我们将深入探讨Spring Security的核心概念以及如何将其应用于实际的Web应用程序开发。 首先,我们从用户、...
在微服务架构中,Spring Security 可以帮助我们保护每个微服务的入口点,确保只有经过验证的用户才能访问受保护的资源。 整合Spring Security到Spring Cloud Gateway的过程通常包括以下步骤: 1. **配置Redis**:...
SpringSecurity是Java开发中用于构建安全Web应用的框架,它提供了强大的身份验证、授权和访问控制功能。在本文中,我们将深入探讨SpringSecurity的核心概念、关键组件以及如何配置和使用这个框架。 首先,Spring...
SpringSecurity提供`Authentication`接口,用于处理身份验证过程。 - **Authorization**: 授权是指决定用户是否有权限访问某个资源。SpringSecurity支持基于角色的访问控制(RBAC)和其他授权模型。 - **Access ...
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring...
5. **CSRF保护(Cross-Site Request Forgery)**:默认情况下,Spring Security提供了对CSRF攻击的防护,通过生成和验证CSRF令牌来确保只有合法的请求才能执行。 6. **Web安全(Web Security)**:对于基于Servlet...
Spring Security 3.0.1 是在 Spring Security 3.0 的基础上进行的一次 bug 修复版本,主要针对先前版本中存在的问题进行了修正。此次版本未引入新的功能,但修正了一些已知的问题,增强了稳定性。 ##### 1.4 获取 ...
自定义Spring Security的身份验证失败处理方法 在 Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
如果涉及到复杂的Web安全问题,如CSRF防护,则可能需要`spring-security-web`。 总的来说,Spring Security 4.0.0的这些jar包是构建安全、健壮的Java Web应用不可或缺的组件,它们提供了一套灵活且强大的工具,可以...
本文档所指的版本为 Spring Security 3.0.1,这是一个 bug fix 版本,主要针对 3.0 版本中存在的问题进行修复,确保开发者能够获取更稳定可靠的 Spring Security 库。 **1.4 获取 Spring Security** - **项目模块*...
1. **认证**:这是验证用户身份的过程,Spring Security提供了多种认证方式,如基于表单的登录、HTTP基本认证、JWT(JSON Web Tokens)等。在2.5版本中,可能会使用`UserDetailsService`接口来查询用户信息,以及`...
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,专为Java应用程序设计。它在Spring生态系统中扮演着核心安全组件的角色,使得开发者能够轻松地实现安全性需求,包括用户认证、授权、会话管理...
Spring Security 是一个强大的和高度可定制的身份验证和访问控制框架,用于Java应用程序。在这个场景中,我们关注的是如何使用Spring Security实现登录验证以及在登录过程中传递参数,特别是记录并返回用户登录前的...
Spring Security 是一个功能强大且高度可定制的身份验证和访问控制框架,它是安全领域中Spring生态系统的一部分。Spring Security旨在为Java应用程序提供一个全面的安全解决方案,尤其适用于企业级应用场景。它主要...
在演讲结束后,演讲嘉宾张明星还预留了时间进行现场问答,解答了观众关于Spring Security的实际应用和技术细节等问题。 ### 总结 通过这次演讲,我们可以看出Spring Security 2.x不仅在功能上强大,而且在灵活性和...