Spring Security重定向到状态码为999的页面
成功登录后,spring重定向到/error包含以下内容的页面
{
"timestamp" : 1586002411175,
"status" : 999,
"error" : "None",
"message" : "No message available"
}
我正在使用 spring-boot 2.2.4
我的配置:
spring.mvc.view.prefix=/WEB-INF/views/
spring.mvc.view.suffix=.jsp
spring.mvc.servlet.load-on-startup=1
spring.mvc.throw-exception-if-no-handler-found=true
spring.resources.add-mappings=false
@Configuration
public class DispatcherContextConfig implements WebMvcConfigurer {
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/resources/**").addResourceLocations("/resources/");
}
}
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AppSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/favicon.ico", "/resources/**");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/**").permitAll()
.antMatchers("/registration/**").anonymous()
.anyRequest().authenticated()
.and()
.headers()
.defaultsDisabled()
.cacheControl()
.and()
.and()
.exceptionHandling()
.accessDeniedPage("/errors/403")
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/log") // I don't want to use force redirect here
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.rememberMe()
.rememberMeParameter("remember-me")
.key("myKey");
}
// ...
}
注意:
原来,该错误是由于对我的一个静态资源的请求失败而引起的。登录页面<script src="/resources/my-js- file.js"></script>缺少该项目。我可以通过删除丢失的资源导入来解决此问题,但是该问题将来可能会再次出现,因此不是解决方案。
如何防止这种情况发生?
我知道我可以强制重定向到起始页面,.defaultSuccessUrl("/log", true)但我不希望这样做。我也想重定向,即使没有找到任何资源也能正常工作。
问题答案:
浪费了很多时间后,我才知道发生了什么事。
因此,spring无法找到登录页面上使用的静态资源之一。但是,404它尝试呈现错误页面并将请求转发给,而不是返回此资源的状态/error。然后Spring
Security拒绝此请求,因为用户未被授权。它将/error请求保存到会话中(用于成功登录后进行重定向),并将用户重定向到登录页面。
当然,用户看不到此重定向,因为状态302在后台完成的请求返回。但是主要问题是/error请求保存在会话中。
然后用户成功登录,并spring检查该属性的会话并重定向到/error页面。默认情况下,spring假设您在静态资源中的某处有这样的页面。如果没有该页面,您将看到状态码为999的此奇怪错误。
解决方案1
忽略/error安全配置中的页面:
web.ignoring().antMatchers("/favicon.ico", "/resources/**", "/error");
因此,成功登录后,此请求将不会保存到会话中以供用户重定向。您会在登录页面上看到对静态资源的请求的状态码将从302变为404。
解决方案2
忽略spring boot autoconfig的一部分:
spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.web.servlet.error.ErrorMvcAutoConfiguration
这给出了相同的结果,但是从配置中禁用了一些bean,ErrorMvcAutoConfiguration所以要小心。
-
我正在尝试创建无状态安全性,从而将JWT令牌存储在Cookie而不是SESSION中。 问题是,如果没有会话,就不知道原始请求(在身份验证页面弹出之前)。所以在第77行这里savedRequest是空的。 这看起来很奇怪,我想我做错了什么。如何允许页面重定向到登录无状态会话后请求的原始URL? > 我禁用会话 然后,我创建了一个自定义的AuthenticationSuccessHandler,它扩
-
问题内容: 我正在创建一个基于标签的页面,其中显示了一些数据。我在AngularJs中使用UI-Router来注册状态。 我的目标是在页面加载时打开一个默认选项卡。每个选项卡都有子选项卡,并且我想在更改选项卡时打开默认的子选项卡。 我正在使用函数进行测试,并且正在使用内部,但是由于循环效应问题(在state.go上对其子状态调用其父状态,依此类推,然后变成循环),它似乎无法正常工作。 在这里,我创
-
问题内容: 我做了一个新的吊舱并将其推到行李箱。它出现在cocoadocs(http://cocoadocs.org/docsets/KeyboardLayoutHelper/0.0.1/)页面中,但是http://cocoapods.org/pods/KeyboardLayoutHelper重定向到github。 与一起安装时,吊舱可以正常工作。 我做错了什么还是应该提交给cocoapods.o
-
我对WordPress有意见。该网站工作相当正常,但在管理面板上,各种页面,如编辑帖子,安装插件,添加新插件,添加新页面,设置重定向到主页我。我疯狂地在谷歌上搜索了3天,但我刚刚发现了mod_安全问题。结果对我来说也没用。 这是我的.htaccess文件
-
我的Spring Boot项目遇到问题。当我运行应用程序并转到http://localhost:8086/它重定向到http://localhost:8086/login这不是我想要的页面。 这是我申请的内容。属性文件 我还添加了这个类,它应该打开在 /public/文件夹中找到的index.html文件,如上面的属性中指定的 我是不是做错了什么,还是应该先登录它重定向到的页面?
-
尝试在发送电子邮件后从node.js和express.js页面重定向我的页面。消息被发送,我在我的终端中得到了console.log()(使用morgan进行日志记录),但它没有将我重定向到成功页面,并且我在浏览器中没有得到一个console.log错误。它只是停止,然后我得到一个本地主机没有发送任何数据错误。以前从未使用过nodemailer,但我设法发送了消息,只是在重定向到新页面时遇到了问题