春季启动+安全+ jquery ajax

【问题标题】:spring boot + security + jquery ajax春季启动+安全+ jquery ajax
【发布时间】:2017-07-03 00:10:26
【问题描述】:

您好,我用 Spring Boot 和 Spring Security 构建了一个项目。现在,我想为 Jquery.ajax({...}); 提供登录 restfull 服务;我想:

  1. 处理来自 HTML 页面的登录请求(如 <form> 提交)。
  2. HTML页面请求时自动检查会话超时,将超时重定向到登录页面。
  3. 处理来自 Ajax 的登录请求。
  4. Ajax 请求时自动检查登录状态。

我是这样编码的

安全配置

从 WebSecurityConfigurerAdapter 扩展

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable();

    http.exceptionHandling().authenticationEntryPoint((request, response, authException) -> {
        String requestType = request.getHeader("x-requested-with");
        if (!StringUtils.isEmpty(requestType)) {
            response.setStatus(HttpServletResponse.SC_OK);
            response.getWriter().print("{\"invalid_session\": true}");
            response.getWriter().flush();
        } else {
            response.sendRedirect("/security/login");
        }
    });

    http.authorizeRequests()
            .antMatchers("/security/**").permitAll()
            .antMatchers("/reader/**").hasRole("READER")
            .anyRequest().authenticated()

            // session time out
            .and().sessionManagement().invalidSessionUrl("/security/session_timeout")

            .and().cors()

            // login
            .and()
            .formLogin()
            .successHandler(successHandler)
            .failureHandler(faildHandler)
            .loginPage("/security/login")
            .permitAll()

            // logout
            .and()
            .logout().permitAll();
}

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(readerRepository::findOne);
}

我有两个处理程序来处理 AuthenticationSuccess 和 AuthenticationFailure

故障处理程序

从 SimpleUrlAuthenticationFailureHandler 扩展

@Override
public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {
    System.out.println("Failed to auth.");
    String requestType = request.getHeader("x-requested-with");
    if (!StringUtils.isEmpty(requestType)) {
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.getWriter().print("{\"success\": false}");
    } else {
        setDefaultFailureUrl("/security/login?error=true");
        super.onAuthenticationFailure(request, response, exception);
    }
}

成功处理程序

从 SavedRequestAwareAuthenticationSuccessHandler 扩展

@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
    System.out.println("Success to auth.");
    String requestType = request.getHeader("x-requested-with");
    if (!StringUtils.isEmpty(requestType)) {
        response.setStatus(HttpServletResponse.SC_OK);
        response.getWriter().print("{\"success\": true}");
    } else {
        setDefaultTargetUrl("/index/index");
        setAlwaysUseDefaultTargetUrl(true);
        super.onAuthenticationSuccess(request, response, authentication);
    }
}

控制器

base RequestMapping 是 '/security'

@RequestMapping(value = "/login")
public String login(@RequestParam(value = "error", defaultValue = "false") boolean error, Model model) {
    model.addAttribute("error", error);
    return "login";
}

@RequestMapping("/session_timeout")
public void sessionTimeout(HttpServletRequest request, HttpServletResponse response) throws IOException {
    System.out.println("session was timeout.");
    if (request.getHeader("x-requested-with") != null) {
        // handler for ajax
        response.getWriter().print("{\"sessionTimeout\": true}");
        response.getWriter().close();
    } else {
        response.sendRedirect("login");
    }
}

当我在页面 (thymeleaf) 中进行测试时,一切正常。 但是.. 当我使用 Jquery Ajax 时。 问题:

当我使用 Jquery.ajax({}) API 发送请求时,请求无法到达服务器。如何用jquery编写ajax请求,我尝试了很多jquery方法,页面在控制台没有响应代码。 spring security不支持ajax吗?

【问题讨论】:

  • 能否提供您的 ajax javascript 代码以及服务器响应状态代码?

标签: ajax spring spring-boot spring-security


【解决方案1】:

谢谢范,我修好了。我重写了登录认证:

UsernamePasswordAuthenticationToken token = new UsernamePasswordAuthenticationToken(userDetails, userReq.getPassword(), userDetails.getAuthorities());
authenticationManager.authenticate(token);
if (token.isAuthenticated()) {
    SecurityContextHolder.getContext().setAuthentication(token);
    return true;
}

使用 AuthenticationManager 进行身份验证,它是从 spring 注入的。

如果验证成功,我会将sessionid返回给客户端,客户端保存在cookie中,当客户端请求时,客户端总是在ajax请求的url末尾统计sessionid。 如果验证失败,我会返回同意的错误代码。

例如:

$.ajax({
   url: 'http://test:port/project/list;jsessionid=' + jessionid,
   ...
})

但我认为这样的工作并不好。这很麻烦,在客户端,我需要检查每个响应代码对每个请求是否正确。有没有更好的方法来解决这个问题??

顺便说一下,Client(Browser + Ajax) 和 Server(Spring mvc) 是分开的。

【讨论】:

  • 嘿托尼,我认为您不需要将 jsessionid 作为 ajax 请求的一部分。 jsessionid cookie 会自动作为请求标头的一部分发送到服务器。我有一个关于 Spring Boot 和 JWT 身份验证的 github 存储库。里面的代码可能对你有帮助。这是回购的网址:github.com/bfwg/springboot-jwt-starter
猜你喜欢
  • 1970-01-01
  • 2018-08-01
  • 1970-01-01
  • 2013-12-22
  • 2017-04-15
  • 2014-02-02
  • 2012-12-13
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode