Spring Security - 记住我身份验证错误

2024-01-18

我们正在使用 Spring MVC，并遇到以下与 Remember Me 身份验证相关的问题：

用户在选中“记住我”的情况下登录，工作正常，perpetitive_login 表按预期更新
我们重新启动应用程序服务器，也许是在部署之后等
用户刷新页面，我们看到图 1 中的错误消息，用户被重定向到登录页面（没有看到错误）
尽管出现错误，permanent_login 条目令牌已更新（系列与刷新之前相同），spring Remember Me 令牌也保持不变。
用户第二次刷新页面，他们就像什么都没发生一样登录

图 1 -- 错误消息

Apr 24, 2014 9:29:15 AM org.apache.catalina.core.StandardWrapperValve invoke
SEVERE: Servlet.service() for servlet [workmarket] in context with path [] threw exception
java.lang.ClassCastException: org.springframework.security.web.firewall.FirewalledResponse cannot be cast to org.springframework.security.web.context.SaveContextOnUpdateOrErrorResponseWrapper
at org.springframework.security.web.context.HttpSessionSecurityContextRepository.saveContext(HttpSessionSecurityContextRepository.java:99)
at org.springframework.security.web.session.SessionManagementFilter.doFilter(SessionManagementFilter.java:87)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.authentication.AnonymousAuthenticationFilter.doFilter(AnonymousAuthenticationFilter.java:113)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter.doFilter(RememberMeAuthenticationFilter.java:139)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter.doFilter(SecurityContextHolderAwareRequestFilter.java:54)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.savedrequest.RequestCacheAwareFilter.doFilter(RequestCacheAwareFilter.java:45)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:167)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.authentication.AbstractAuthenticationProcessingFilter.doFilter(AbstractAuthenticationProcessingFilter.java:182)
at com.workmarket.web.authentication.CustomLinkedInLoginFilter.doFilter(CustomLinkedInLoginFilter.java:100)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at com.workmarket.web.authentication.CustomLoginFilter.doFilter(CustomLoginFilter.java:100)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.authentication.logout.LogoutFilter.doFilter(LogoutFilter.java:105)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.context.SecurityContextPersistenceFilter.doFilter(SecurityContextPersistenceFilter.java:87)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.saml.metadata.MetadataGeneratorFilter.doFilter(MetadataGeneratorFilter.java:86)
at org.springframework.security.web.FilterChainProxy$VirtualFilterChain.doFilter(FilterChainProxy.java:323)
at org.springframework.security.web.FilterChainProxy.doFilter(FilterChainProxy.java:173)
at org.springframework.web.filter.DelegatingFilterProxy.invokeDelegate(DelegatingFilterProxy.java:343)
at org.springframework.web.filter.DelegatingFilterProxy.doFilter(DelegatingFilterProxy.java:260)
at org.apache.catalina.core.ApplicationFilterChain.internalDoFilter(ApplicationFilterChain.java:243)
at org.apache.catalina.core.ApplicationFilterChain.doFilter(ApplicationFilterChain.java:210)
at org.apache.catalina.core.StandardWrapperValve.invoke(StandardWrapperValve.java:222)
at org.apache.catalina.core.StandardContextValve.invoke(StandardContextValve.java:123)
at org.apache.catalina.authenticator.AuthenticatorBase.invoke(AuthenticatorBase.java:472)
at org.apache.catalina.core.StandardHostValve.invoke(StandardHostValve.java:171)
at org.apache.catalina.valves.ErrorReportValve.invoke(ErrorReportValve.java:99)
at org.apache.catalina.valves.AccessLogValve.invoke(AccessLogValve.java:936)
at org.apache.catalina.core.StandardEngineValve.invoke(StandardEngineValve.java:118)
at org.apache.catalina.connector.CoyoteAdapter.service(CoyoteAdapter.java:407)
at org.apache.coyote.http11.AbstractHttp11Processor.process(AbstractHttp11Processor.java:1004)
at org.apache.coyote.AbstractProtocol$AbstractConnectionHandler.process(AbstractProtocol.java:589)
at org.apache.tomcat.util.net.JIoEndpoint$SocketProcessor.run(JIoEndpoint.java:310)
at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1145)
at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:615)
at java.lang.Thread.run(Thread.java:744)

图 2——安全过滤器

<sec:custom-filter before="FIRST" ref="metadataGeneratorFilter"/>
<sec:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter"/>
<sec:custom-filter ref="customLoginFilter" position="FORM_LOGIN_FILTER"/>
<sec:custom-filter ref="customLinkedInLoginFilter" after="FORM_LOGIN_FILTER"/>
<sec:custom-filter ref="rememberMeFilter" position="REMEMBER_ME_FILTER"/>
<sec:custom-filter ref="switchUserProcessingFilter" position="SWITCH_USER_FILTER"/>
<sec:custom-filter ref="authenticatedUserInitializer" before="FILTER_SECURITY_INTERCEPTOR"/>
<sec:custom-filter ref="publicWorkRequestFilter" after="FILTER_SECURITY_INTERCEPTOR"/>
<sec:custom-filter ref="securityContextCleanupFilter" after="SESSION_MANAGEMENT_FILTER"/>
<sec:custom-filter ref="customLogoutFilter" position="LOGOUT_FILTER"/>

图 3 --“记住我”设置

<!-- Remember me -->
<bean id="rememberMeFilter" class="org.springframework.security.web.authentication.rememberme.RememberMeAuthenticationFilter">
    <constructor-arg index="0" ref="org.springframework.security.authenticationManager"/>
    <constructor-arg index="1" ref="rememberMeServices"/>
</bean>

<bean id="rememberMeAuthenticationProvider" class="org.springframework.security.authentication.RememberMeAuthenticationProvider">
    <constructor-arg index="0" value="[REMOVED]"/>
</bean>

<bean id="rememberMeServices" class="org.springframework.security.web.authentication.rememberme.PersistentTokenBasedRememberMeServices">
    <constructor-arg index="0" value="[REMOVED]"/>
    <constructor-arg index="1" ref="userDetailsService"/>
    <constructor-arg index="2" ref="persistentTokenRepository"/>
</bean>

Versions

spring 框架 -- 3.2.4.RELEASE
春季安全——3.1.0.RELEASE
spring-security-saml2-core -- 1.0.0.RC2
opensaml -- 2.5.3

======更新======

我们发现，删除这两个与 SAML 相关的过滤器可以解决此问题，但是我们确实需要它们才能工作......

<sec:custom-filter before="FIRST" ref="metadataGeneratorFilter"/>
<sec:custom-filter after="BASIC_AUTH_FILTER" ref="samlFilter"/>

======更新2======

samlFilter 定义的详细信息。

<bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy">
  <security:filter-chain-map request-matcher="ant">
  <security:filter-chain pattern="/saml/login/**" filters="samlEntryPoint"/>
  <security:filter-chain pattern="/saml/SSO/**" filters="samlWebSSOProcessingFilter"/>
  </security:filter-chain-map>
</bean>

<bean id="samlEntryPoint" class="org.springframework.security.saml.SAMLEntryPoint">
  <property name="defaultProfileOptions">
    <bean class="org.springframework.security.saml.websso.WebSSOProfileOptions">
      <property name="includeScoping" value="false"/>
    </bean>
  </property>
</bean>

<bean id="samlWebSSOProcessingFilter" class="org.springframework.security.saml.SAMLProcessingFilter">
  <property name="authenticationManager" ref="samlAuthenticationManager"/>
  <property name="authenticationSuccessHandler">
    <bean class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
      <property name="defaultTargetUrl" value="/"/>
    </bean>
  </property>
</bean>

提前致谢。

这是由于在 SecurityContextPersistenceFilter 之后使用 FilterChainProxy 造成的。具体来说，FilterChainProxy 的 HttpFirewall 正在用不再实现 SavedRequest 的 DefaultHttpFirewall 替换 HttpServletResponse。为了解决这个问题，您可以将自定义 HttpFirewall 注入到 samlFilter FilterChainProxy 中，该代理返回传递给它的相同 HttpServletResponse。例如：

public class DoNothingHttpFirewall implements HttpFirewall {

    public FirewalledRequest getFirewalledRequest(HttpServletRequest request) throws RequestRejectedException {
        return new MyFirewalledRequest(request);
    }

    public HttpServletResponse getFirewalledResponse(HttpServletResponse response) {
        return response;
    }

    private static class MyFirewalledRequest extends FirewalledRequest {
         MyFirewalledRequest(HttpServletRequest r) {
             super(r);
         }
         public void reset() {}
    }
}

然后您可以使用以下方式连接它：

<bean id="samlFilter" class="org.springframework.security.web.FilterChainProxy">
  <security:filter-chain-map request-matcher="ant">
    <security:filter-chain pattern="/saml/login/**" filters="samlEntryPoint"/>
    <security:filter-chain pattern="/saml/SSO/**" filters="samlWebSSOProcessingFilter"/>
  </security:filter-chain-map>
  <property name="firewall">
    <bean class="DoNothingHttpFirewall"/>
  </property>
</bean>

我已经记录了一张票，以便将来使这项工作透明化https://jira.spring.io/browse/SEC-2578 https://jira.spring.io/browse/SEC-2578

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

SpringMVC

SpringSecurity

rememberMe

Spring Security - 记住我身份验证错误的相关文章

如何使用“ADDMORE”按钮在 Angular 6 中上传多个文件？

你好埃弗龙我一直在尝试上传上面图片用例我知道当我们只有一个文件时这很容易但现在的情况不同了它由带有文件的对象数组组成现在我的问题是如何使用对象数组渲染 formdata 对象其中每个对象都包含一个文件对于动态形式我使用
Spring MVC 资源版本控制添加 ResourceUrlEncodingFilter

我正在尝试从 4 1 开始使用新的资源版本控制从 http spring io blog 2014 07 24 spring framework 4 1 handling static web resources http spring
Spring MVC 应用程序可以是多线程的，即使它的 servlet 不是吗？

当您谈论 Spring 应用程序是多线程时您是否一定是指该应用程序中定义的 servlet 是否是多线程的或者即使应用程序中的 servlet 不是多线程 Spring 应用程序也可以配置为多线程吗不再支持单线程 servlet 它们
Spring 在 AuthenticationSuccessHandler 中自动装配会话范围 bean 不起作用

我正在使用 spring security 我想初始化一个对象User在用户成功登录后的会话中安全配置如下 Configuration EnableWebSecurity PropertySource classpath configs
Spring 4 MVC 和 Websockets - 没有合适的默认 RequestUpgradeStrategy

我需要 Websockets 在我的应用程序中进行实时更新所以我找到了这个例子并一步一步地做到了here http raymondhlee wordpress com 2014 01 19 using spring 4 websocket
Spring boot 2.1.x 如何通过基本身份验证保护执行器端点

我正在尝试构建一个 Spring Boot 应用程序并希望利用 Actuator 功能但我想保护 Actuator health shutdown 等的端点我有以下配置但似乎不起作用也就是说应用程序从不提示输入凭据或者当邮递员
嵌套异常是java.lang.NoClassDefFoundError：无法初始化类org.springframework.jdbc.support.SQLErrorCodesFactory

我正在使用 spring 和 jdbctemplate 编写一个应用程序但是我遇到了以下错误 org springframework web util NestedServletException Handler processing f
浏览器刷新不起作用，spring boot + React

当我们点击浏览器刷新时它会返回403 我正在尝试使用 WebMvcConfigurer addViewControllers 进行修复我们正在使用 React 并更改 url 例如在浏览器中 http localhost 8080 a
如何将 JavaScript 库包含到 Spring MVC 项目中（例如 jQuery 或 Dojo）

我在这里阅读了超过 5 个相关主题但无法找到答案分步说明到目前为止我已经有了 STS Spring MVC 模板结构并尝试将jquery js在我的项目中的某个地方不幸的是没有人说它应该在哪里那么请说将 jquery js
Spring MVC 中的重定向

为什么我不能让它在我的控制器中工作 RequestMapping method RequestMethod POST public String onSubmit Model model ModelAttribute form Form f
Spring AOP 和后期构造

我想写下与 PostConstruct一起使用的方法的名称但我发现AOP无法绕过 PostConstruct方法有没有办法将 AOP 与 PostConstruct 方法一起使用尝试一下 Around annotation java
LocalDate 与属性占位符 Spring

我正在使用 Spring Boot 和属性占位符我有一个属性文件其值为 date A 24 07 17 我有一堂课我正在使用 Value注解 Value date A private LocalDate dateA 但我在运行时遇到运
是否可以将路径变量和请求参数绑定到单个对象中？ [复制]

这个问题在这里已经有答案了我正在创建一个带有路径变量和请求参数的端点如何将路径变量和请求参数组合到一个对象中我正在使用 springboot 2 和 java 8 RequestMapping path schedules publi
使用 thymeleaf 的 th:text 属性后，Materializecss 图标从 html 中消失

我目前正在学习使用 Spring 进行 Web 应用程序开发在此期间我遇到了烦人的问题那么让我们进入正题吧我正在使用 MaterializeCSS 它允许通过以下方式制作带有图标的按钮
在 Spring 拦截器 postHandle 方法中添加 HTTP 标头

我有一个 Spring 拦截器它尝试在 postHandle 方法中添加 HTTP 标头 public void postHandle HttpServletRequest req HttpServletResponse resp Obj
找不到可接受的代表

我是 Spring Boot 的新手我可能会犯一些愚蠢的错误所以提前对此类问题表示歉意我正在尝试编写接受以下 JSON 的 POST API id null a 1 3 b somestring mapJson monday 10 0
Spring Boot Service的注解@Autowired失败

我正在尝试使用 AutowiredSpring Boot 应用程序中 Service 类的注释但它不断抛出No qualifying bean of type例外但是如果我将服务类更改为 bean 那么它就可以正常工作这是我的代码
Spring 3 集合绑定

如何将集合绑定到输入数据的表单不用于显示例如为一个Set
Spring security 3.1.4 和 ShaPasswordEncoder 弃用

今天我将我正在开发的应用程序的 spring security 版本从 3 1 3 升级到 3 1 4 并且我注意到了一个弃用警告org springframework security authentication encoding S
将 Azure AD 高级自定义角色与 Spring Security 结合使用以进行基于角色的访问

我创建了一个演示 Spring Boot 应用程序我想在其中使用 AD 身份验证和授权并使用 AD 和 Spring Security 查看 Azure 文档我执行了以下操作 package com myapp contactdb c

随机推荐

使用matlab配色方案将float转换为RGB

例如如果我有一个浮动0 568 浮动保证是0 gt 1 有没有办法将其转换为 RGB 值双精度 1 0 1 0 1 0 or int 255 255 255 在当前的 matlab 配色方案即正常热 HSV 等下你可以试试这个
Intel x86 - 中断服务例程责任

我没有真正意义上的问题但我会尽力澄清内容问题假设我们有一个微内核 PC Intel x86 32 位保护模式中断描述符表 IDT and 中断服务程序 ISR 对于每个CPU异常 ISR 被成功调用例如Division by Zer
从 C 矩阵到现代 OpenGL 中的纹理？

Problem 我正在尝试使用 OpenGL 用 C 编写一个简单的程序这将允许绘制 2D C 数组 int 32 位整数根据调色板目前我还没有做到这一点还很远我正在学习如何将 32 位有符号整数数组发送到 GPU 并以某种方
{{ }} 和 {!! 之间有什么区别？ !!} 在 Laravel Blade 文件中？

在laravel框架中我们可以使用blade在html文件中添加PHP代码我们正在使用两者 and Laravel 的 Blade 文件中的语法它们之间有什么区别 Blade 语句通过PHP的htmlentities函数自动发送以防止
制作 PIE 对象时，不能使用针对符号“G8”的重定位 R_X86_64_32；使用-fPIE重新编译

我正在尝试将 lambda 表达式从 schema 编译为 llvm ir 但在处理与位置无关的代码时遇到了问题 source lambda x display x target bunch of declares define SObj
更新Map字段-Flutter

如何更新 isVerified Boolean 字段的数据个人信息是地图包含地址然后经过验证更新isVerified 您必须执行以下操作 Firestore instance collection collection Name do
我们可以在 Spring Boot 中使用多个 kafka 模板吗？

在我的 spring boot kafka 发布者应用程序中我想提供对以 String json 或字节格式发布消息的支持因为我想同时提供对 json 和 avro 的支持但是 Spring Boot 中的 Kafka 模板让我们只定
有没有办法在 R 中为 Word 制作漂亮的表格？

我问我的问题这是我最后的希望我必须用 Word 制作一份报告我从事 R Markdown 工作必须生成许多表格我希望我的桌子很漂亮但我尝试过的一切 pander KableExtra flextable 不工作我的结果来自co
尝试使用 Angular 中的 Google People API 获取生日和性别

我已经花了几个小时尝试这样做但我永远无法获得我想要获得的数据我需要以其他方式提出请求吗这是我的代码 doGoogleLogin return new Promise
是否有 jquery 下拉年份选择器 [关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案是否有一个 jQuery 插件可以自动创建下拉年份选择器这是一个选择元素填充了从当前开始并追溯
如何使用 jquery/javascript 在 safari 中复制到剪贴板？

我研究了一堆答案和文章它们展示了如何通过 jquery 在按钮单击时复制文本但没有一个对我有用我通过 ajax 将一个值附加到 DOM 中我希望通过单击按钮来复制该值所有这些解决方案都可以在 chrome 上运行如果使用 jsf
放弃更改而不从历史记录中删除

有一个提交不起作用所以我想放弃它而不将其从历史记录中删除我已经从早期的修订版中更新并提交从而创建了一个新的头我没有分支我不想要分支我只想简单地继续使用新的头就像它原来的样子没有什么花哨的没有合并没有担心只是继续忘记前一
Alexa Skills Kit 输入的“包罗万象”不符合既定意图

我正在构建一个 Alexa 应用程序它需要能够处理问题的答案我有一个SkipIntent具有跳过问题的示例话语的意图我想建立一个AnswerIntent它可以获取任何答案并根据正确答案对其进行处理我尝试使用Amazon LITER
如何在 Java 中检测 SQL 表是否存在？

如何在 Java 中检测给定 SQL 数据库中是否存在某个表您可以使用DatabaseMetaData getTables http java sun com j2se 1 5 0 docs api java sql DatabaseMe
何时不在 CakePhp 2.x 中使用可包含行为

在将 Containable Behaviour 添加到我的各种模型类中几次后我决定简单地将该行放入 AppModel 中从而使每个模型都可包含这让我想知道是否有任何情况下特定模型具有可控制行为是不理想的或适得其反的我想说太少了
更改JLabel的字体

如何更改JLabel的字体我尝试这样做但没有成功 JLabel nadpis new JLabel nadpis setFont new Font Papyrus Font ITALIC 100 nadpis setText hi 只是大
将 BasedOn 属性与在不同字典中定义的 Style 结合使用

我正在开发的应用程序有 2 个 ResourceDictionary DefaultStyles xaml 和 CustomStyles xaml CustomStyles 字典中的样式是否可能使用其他字典中定义的基本样式默认样式 xam
在一个查询中计算 MySQL 中的多行数

我目前有一个表其中存储了多个项目的大量统计信息例如查看下载购买等要获取每个项目的单个操作计数我可以使用以下查询 SELECT COUNT FROM stats WHERE operation view GROUP BY item
pandas groupby 列并检查组是否满足多个条件

我有一个如下所示的 DataFrame X Y Date are equal 0 50 0 10 0 2018 08 19 False 1 NaN 10 0 2018 08 19 False 2 NaN 50 0 2018 08 19 Tr
Spring Security - 记住我身份验证错误

我们正在使用 Spring MVC 并遇到以下与 Remember Me 身份验证相关的问题用户在选中记住我的情况下登录工作正常 perpetitive login 表按预期更新我们重新启动应用程序服务器也许是在部署之后等用户

Spring Security - 记住我身份验证错误

Spring Security - 记住我身份验证错误 的相关文章

随机推荐

热门标签

Spring Security - 记住我身份验证错误的相关文章