登录成功后,spring重定向到
/error
页面,内容如下
{
"timestamp" : 1586002411175,
"status" : 999,
"error" : "None",
"message" : "No message available"
}
我正在使用
spring-boot 2.2.4
spring.mvc.view.prefix=/WEB-INF/views/
spring.mvc.view.suffix=.jsp
spring.mvc.servlet.load-on-startup=1
spring.mvc.throw-exception-if-no-handler-found=true
spring.resources.add-mappings=false
@Configuration
public class DispatcherContextConfig implements WebMvcConfigurer {
@Override
public void addResourceHandlers(ResourceHandlerRegistry registry) {
registry.addResourceHandler("/resources/**").addResourceLocations("/resources/");
}
}
@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class AppSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
public void configure(WebSecurity web) {
web.ignoring().antMatchers("/favicon.ico", "/resources/**");
}
@Override
protected void configure(HttpSecurity http) throws Exception {
http.csrf().disable()
.authorizeRequests()
.antMatchers("/api/**").permitAll()
.antMatchers("/registration/**").anonymous()
.anyRequest().authenticated()
.and()
.headers()
.defaultsDisabled()
.cacheControl()
.and()
.and()
.exceptionHandling()
.accessDeniedPage("/errors/403")
.and()
.formLogin()
.loginPage("/login")
.loginProcessingUrl("/login")
.failureUrl("/login?error")
.defaultSuccessUrl("/log") // I don't want to use force redirect here
.permitAll()
.and()
.logout()
.logoutUrl("/logout")
.deleteCookies("JSESSIONID")
.invalidateHttpSession(true)
.logoutSuccessUrl("/login?logout")
.permitAll()
.and()
.rememberMe()
.rememberMeParameter("remember-me")
.key("myKey");
}
// ...
}
事实证明该错误是由于对我的静态资源之一的请求失败引起的。登录页面有项目中缺少的
<script src="/resources/my-js-file.js"></script>
。
我可以通过删除缺少的资源导入来解决此问题,但问题可能会在将来再次出现,因此这不是解决办法。
我知道我可以用
.defaultSuccessUrl("/log", true)
强制重定向到起始页面,但我不想要这个。
另外,我希望重定向能够正常工作,尽管没有找到任何资源。
在浪费了很多时间之后,我弄清楚发生了什么。
所以spring找不到登录页面使用的静态资源之一。但它不会返回此资源的状态
404
,而是尝试呈现错误页面并将请求转发到 /error
。然后 Spring Security 拒绝此请求,因为用户未获得授权。它将 /error
请求保存到会话(用于成功登录后重定向)并将用户重定向到登录页面。
当然,用户看不到此重定向,因为状态
302
返回的是在后台完成的请求。但主要问题是 /error
请求保存在会话中。
然后用户登录成功,Spring 检查会话中的此属性并重定向到
/error
页面。默认情况下,spring 假设您在静态资源中的某处有这样的页面。如果您没有此页面,您将看到这个奇怪的错误,状态代码为 999。
忽略安全配置中的
/error
页面:
web.ignoring().antMatchers("/favicon.ico", "/resources/**", "/error");
所以登录成功后,该请求不会保存到会话中以供用户重定向。您将看到在登录页面上请求静态资源的状态代码将从
302
更改为 404
。
忽略部分 Spring Boot 自动配置:
spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.web.servlet.error.ErrorMvcAutoConfiguration
这给出了相同的结果,但从配置中禁用了一些bean
ErrorMvcAutoConfiguration
所以要小心。
我也有同样的问题。我尝试评论每个样式表链接以查看哪个链接导致了错误。这是我的自定义 css 文件。问题是,在我的 css 文件中,我有一个不存在的图像的 url,并且还有另一个错误的 @import 语句。评论完这些后,一切正常。
我有相同的问题,authenticated或permitAllrequestMatchers路径在正确的情况下具有状态代码200,但有例外情况:404或500转换为401。经过调查,我发现了与https:/相同的解决方案/stackoverflow.com/a/61029341/2260704 但我认为这是一种解决方法,在与其他开发人员讨论后,我了解到问题出在我的 SecurityConfiguration 定义中,路径规则逻辑中存在问题。
要记住的规则:在 Spring Security 中,默认情况下所有路径都是拒绝的。
您必须使用 .anyRequest() 为 requestMatcher 提供特定路径和一般情况。这样,anyRequest就支持“/error”了!
好的规则,“/error”包含在anyRequest中,(404是404,500是500):
.requestMatchers("/api/public/**").permitAll()
.anyRequest().authenticated());
错误规则:
.requestMatchers("/api/public/**").permitAll()
.requestMatchers("/api/**").authenticated());