那些遇到过的问题

Spring Security记住我不工作

Jat*_*tin 0 java spring spring-security

我花了一天时间,但不明白为什么remember_meSPring Security无法正常工作.我只使用xml作为配置,没有Java代码:

<http use-expressions="false" auto-config="true">
        <intercept-url pattern="/css/**" filters="none" />
        <intercept-url pattern="/**" access="ROLE_USER" />
        <form-login login-page="/BL/index.html" default-target-url="/BL/main.html"
            authentication-failure-url="/BL/index.html?autherror=true"
            always-use-default-target='true' />
        <logout logout-url="/logout" logout-success-url="/BL/index.html"
            invalidate-session="true" />
        <remember-me data-source-ref="dataSource"
            user-service-ref="jdbcUserService" key="99999989"
            token-validity-seconds="86400" />
        <access-denied-handler error-page="/BL/index.html?autherror=true" />
    </http>
Run Code Online (Sandbox Code Playgroud)

简而言之index.html就是我的登录页面.当我登录时,我看到一个cookie由名称SPRING_SECURITY_REMEMBER_ME_COOKIE和值创建V2FrblE1Vlk3cFd6ZDIvZnRjdnlIZz09OndOb2h2NmUvdFlZRHJvRFRPV3lheHc9PQ.

但如果我现在回到index.html页面,它会要求我再次登录.我仍然看到相同的cookie值.上面的xml配置中有什么错误?我希望它不应该让我再次登录,但应该重定向到我的主页,因为我已经登录了.

我看到下面的登录服务器.看起来正在将请求作为空字符串发送给用户:

14:16:34,031 DEBUG JdbcUserDetailsManager:155 - 查询返回没有结果用户''14:16:34,031 DEBUG DaoAuthenticationProvider:131 - 用户''未找到14:16:34,031 DEBUG UsernamePasswordAuthenticationFilter:318 - 验证请求失败:org.springframework .security.authentication.BadCredentialsException:错误凭据14:16:34,032 DEBUG UsernamePasswordAuthenticationFilter:319 - 更新了SecurityContextHolder以包含null身份验证14:16:34,032 DEBUG UsernamePasswordAuthenticationFilter:320 - 委托身份验证失败handlerorg.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler @ 6011c7cf 14:16:34,032 DEBUG PersistentTokenBasedRememberMeServices:214 - 交互式登录尝试失败.14:16:34,032 DEBUG PersistentTokenBasedRememberMeServices:300 - 取消cookie 14:16:34,032 DEBUG SimpleUrlAuthenticationFailureHandler:67 - 重定向到/BL/index.html?autherror=true

Ral*_*lph 6

Spring不会阻止登录用户访问登录页面.

要测试RememberMe提供程序,您至少需要两个页面(使用不同的登录名)

  • 登录页面
  • 只有用户登录才能访问的普通页面.

用户拥有此cookie后,您可以关闭浏览器,再次打开浏览器,然后直接访问受保护的页面(不应将用户重定向或转发到登录页面)

但是您的日志声明显示,您尝试通过登录页面登录用户,另一方面您告诉您要使用记住我令牌.- 对于使用"记住我"Cookie,您不能请求登录页面,而是一些普通页面.

RememberMeAuthenticationFilter将(在尝试登录时)在DEBUG级别打印此消息:

  • "SecurityContextHolder填充了remember-me令牌:......"(成功)
  • "SecurityContextHolder没有填充记住我的令牌,因为AuthenticationManager拒绝了由RememberMeServices返回的身份验证......"(失败)

归档时间:

查看次数:

3122 次

最近记录:

11 年,9 月 前
相关归档
java.util.Date到XMLGregorianCalendar 582
当我在IntelliJ IDEA下使用Lombok时无法编译项目 185
使DocumentBuilder.parse忽略DTD引用 77
Eclipse"找不到自定义标签的标签库描述符"(不是JSTL!) 61
有没有办法在不手动下载新版本的情况下更新JDK? 51
获取参数编码 10
如何自动将String @RequestBody解析为json 8
根据活动弹簧配置文件提供maven依赖关系 8
JSON 解析错误:无法从 START_OBJECT 令牌反序列化 java.util.ArrayList 的实例 8
与XML配置相比,为什么Java Config在spring boot中是有利的? 3
难疑归档
在函数中使用全局变量 2939
提高SQLite的每秒INSERT性能? 2880
你如何断言在JUnit 4测试中抛出某个异常? 1915
我如何开始使用Node.js 1264
\ d效率低于[0-9] 1214
在现代Python中声明自定义异常的正确方法? 1176
我怎样才能用Python代表'Enum'? 1146
如何刷新打印功能的输出? 1111
angular-route和angular-ui-router之间有什么区别? 1064
如何测量函数执行所花费的时间 1057