使用SpringSecurity下,发生重定向异常
使用SpringSecurity下,发生空转异常
环境信息:
Spring Boot 3.4.4 , jdk 17 , springSecurity 6.4.4
问题背景:
没有自定义controller ,改写了login 页面,并且进行了成功后的跳转处理,发现无法进入到login.html 页面,并且报错。但是如果不进行改写,login 则会自动被跳转到默认登陆页面,完成正常拦截。http://localhost:9999/bootscoder/login 比起我的改写后的少了一个 后缀
问题复现:
核心代码:
配置文件:
// 自定义表单登录配置http.formLogin(form -> {form.loginPage("/login.html") // 自定义登录页面.usernameParameter("username").passwordParameter("password").loginProcessingUrl("/login")//登录路径,表单向该路径提交,提交后自动执行UserDetailsService的方法.successForwardUrl("/main.html") // 使用重定向实现登录成功后的跳转
// .successHandler(new MyLoginSuccessHandler()) // 登录成功处理器.failureForwardUrl("/fail.html");});// 设置放行的资源http.authorizeHttpRequests(authz -> {// 放行登录页、处理路径、失败页和静态资源authz.requestMatchers("/login.html", "/fail.html", "/main.html").permitAll();authz.requestMatchers("/css/*.css", "/js/*.js", "/img/**").permitAll();// 其余请求要求认证authz.anyRequest().authenticated();});// 关闭csrf防护(仅供测试使用,生产环境需谨慎关闭)
// http.csrf(csrf -> csrf.disable());
登陆页面:
<div class="container"><h1>用户登录</h1><form action="/bootscoder/login" method="post"><input type="hidden" th:value = "${_csrf.token}" name="_csrf" th:if="${_csrf}"><div class="form-group"><label for="username">用户名</label><input type="text" id="username" name="username" placeholder="请输入用户名" value="bootscoder" required></div><div class="form-group"><label for="password">密码</label><input type="password" id="password" name="password" placeholder="请输入密码" value="root" required></div><input type="checkbox" name="remember-me" value="true"/>记住我</br><button type="submit">登录</button></form>
</div>yml前缀配置:
server:port: 9999servlet:context-path: /bootscoder # 所有接口前缀为 /bootscoder错误信息:
This page isn’t working
localhost redirected you too many times.
Try deleting your cookies
ERR_TOO_MANY_REDIRECTS
分析原因
我的资源放到的是templates中, 也就是说 security 默认的登陆页面在static中。
所以 当我 访问templates下的路径,由于没有写contoller 接口,会发生意外跳转,被拦截后,跳转到static 的默认登陆,然后由于我改写了登陆page,所以又会跳回来,这样导致了 重定向异常。
Spring Security 在配置登录表单时,如果未能找到合适的页面映射(比如你没有正确配置自定义登录页面的访问路径),就可能会触发默认的登录页面(默认在 static 目录下)与自定义页面之间的冲突,从而产生重定向循环。
解决方案
你的分析是正确的。如果你的登录页面放在了 templates 目录下,而没有额外通过 Controller 将其渲染,那么 Spring Boot 默认配置下实际上并不会访问该模板,而是走了静态资源(static 目录)中的默认登录页面,从而产生了重定向循环。
下面有两种解决方案:
方案一:将登录页面移动到 static 目录
如果你不需要使用模板引擎渲染(例如 Thymeleaf 动态处理数据),可以直接把 login.html 文件放到 src/main/resources/static 目录下,这样资源可以直接被以静态资源的形式访问而不会依赖 Controller。
注意:这种方式下,你在 HTML 中写死的路径也需要注意避免重复拼接 context path。例如:
<form th:action="@{/login}" method="post">或
<form action="/login" method="post">(注意不要写成
/bootscoder/login,因为 Spring Boot 会自动处理 context path)
注意⚠️:
不能使用MVC模板引擎:静态资源文件夹中的HTML页面不会被模板引擎(如Thymeleaf)处理,所以不能使用th:action等Thymeleaf标签。
页面跳转方式变化:
- 在模板引擎处理的页面中,可以通过控制器方法返回视图名称来实现页面跳转
- 在静态页面中,需要使用JavaScript进行页面重定向(
window.location.href)或通过AJAX请求与后端交互
表单提交方式:
- 静态页面中的表单提交需要通过JavaScript拦截提交事件,使用
fetch或XMLHttpRequest等API发送请求到后端 - 不能依赖Spring MVC的表单处理机制直接提交到控制器方法
方案二:为模板页面添加 Controller(推荐)
如果你需要利用模板引擎(如 Thymeleaf)进行页面渲染,则需要提供一个 Controller 映射 GET 请求去返回该模板。例如,你可以这样做:
package com.example.demo.controller;import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;@Controller
public class LoginController {@GetMapping("/login.html")public String login() {// 返回 templates/login.html 渲染结果return "login"; // 注意:返回值 "login" 对应 src/main/resources/templates/login.html}
}
安全配置修改
同时,确保你的 Spring Security 配置中放行登录页面、登录处理 URL 以及失败页面,如下所示:
http.formLogin(form -> {form.loginPage("/login.html") // 自定义登录页面,由 Controller 渲染.usernameParameter("username").passwordParameter("password").loginProcessingUrl("/login") // 处理登录请求,实际为 /bootscoder/login.defaultSuccessUrl("/main.html", true).failureUrl("/fail.html");
});http.authorizeHttpRequests(authz -> {// 放行登录页、登录处理 URL、失败页和静态资源authz.requestMatchers("/login.html", "/login", "/fail.html", "/main.html").permitAll();authz.requestMatchers("/css/*.css", "/js/*.js", "/img/**").permitAll();authz.anyRequest().authenticated();
});// 如果需要调试,可以先关闭 CSRF(仅用于测试环境)
// http.csrf(csrf -> csrf.disable());
同时,为静态页面(如 fail.html 和 main.html)也建议确认它们能被正确访问,如果你没有为它们提供 Controller 渲染,那就把这类页面放入 static 目录中。
小结
- 放在
static目录:如果不依赖模板渲染,可以直接将login.html放至static,避免因找不到自定义 Controller 而触发 Security 默认登录页。 - 使用 Controller 渲染模板:如果需要把页面放在
templates下利用 Thymeleaf 渲染,则必须提供映射该 GET 请求的 Controller,否则 Spring Security 可能依然会使用默认静态的登录页面,造成重定向循环。
相关文章:
使用SpringSecurity下,发生重定向异常
使用SpringSecurity下,发生空转异常 环境信息: Spring Boot 3.4.4 , jdk 17 , springSecurity 6.4.4 问题背景: 没有自定义controller ,改写了login 页面,并且进行了成功后的跳转处理…...
)
gbase8s之逻辑导出导入脚本(完美版本)
该脚本dbexport.sh用于快速导出库和导入库(使用多并发unload,和多并发dbload的方式) #!/bin/sh #脚本功能:将数据导出成文本,迁移至其他实例 #最后更新时间:2023-12-19 #使用方法: #1.执行该脚…...
Elasticsearch | ES索引模板、索引和索引别名的创建与管理
关注:CodingTechWork 引言 在使用 Elasticsearch (ES) 和 Kibana 构建数据存储和分析系统时,索引模板、索引和索引别名的管理是关键步骤。本文将详细介绍如何通过 RESTful API 和 Kibana Dev Tools 创建索引模板、索引以及索引别名,并提供具…...
【Easylive】视频删除方法详解:重点分析异步线程池使用
【Easylive】项目常见问题解答(自用&持续更新中…) 汇总版 方法整体功能 这个deleteVideo方法是一个综合性的视频删除操作,主要完成以下功能: 权限验证:检查视频是否存在及用户是否有权限删除核心数据删除&…...
力扣hot100_回溯(2)_python版本
一、39. 组合总和(中等) 代码: class Solution:def combinationSum(self, candidates: List[int], target: int) -> List[List[int]]:ans []path []def dfs(i: int, left: int) -> None:if left 0:# 找到一个合法组合ans.append(pa…...
SGLang实战:从KV缓存复用到底层优化,解锁大模型高效推理的全栈方案
在当今快速发展的人工智能领域,大型语言模型(LLM)的应用已从简单对话扩展到需要复杂逻辑控制、多轮交互和结构化输出的高级任务。面对这一趋势,如何高效地微调并部署这些大模型成为开发者面临的核心挑战。本文将深入探讨SGLang——这一专为大模型设计的高…...
LPDDR4内存颗粒命名规则全解析:三星、镁光、海力士、南亚、长鑫等厂商型号解码与选型指南
由于之前DDR的系列选型文章有很好的反馈,所以补充LPDDR4低功耗内存的选型和命名规则,总结了目前市面上常用的内存,供硬件工程师及数码爱好者参考。 在智能手机、平板电脑和低功耗设备中,LPDDR4 SDRAM凭借其高带宽、低功耗特性成为…...
特权FPGA之Johnson移位
完整代码: module johnson(clk,rst_n,led,sw1_n,sw2_n,sw3_n);input clk; //时钟信号,50MHz input rst_n; //复位信号,低电平有效 output[3:0] led; //LED控制,1--灭…...
)
网络安全小知识课堂(最终完结版)
网络安全入门 :从 “小白” 到 “守护者” 的蜕变之旅 写在完结之际 历经 13 篇的深度探索,我们从 DDoS 攻击的 “流量洪水” 一路闯关到 HTTPS 的 “加密堡垒”,揭开了网络安全世界的层层面纱。感谢每一位读者的陪伴与互动,你们…...
2025年AI生成引擎搜索发展现状与趋势总结
2025年AI生成引擎搜索发展现状与趋势总结 一、国内外AI生成引擎搜索发展现状 1. 国内动态 社交搜索崛起:小红书2024年Q4日均搜索量达6亿次,用户更依赖社交平台UGC内容进行决策(如购物、旅游场景)&#…...
【杂谈】Godot4.4导出到Android平台(正式导出)
学博而后可约,事历而后知要。 目录 一、准备二、Gradle构建三、配置Java SDK四、配置Android SDK五、配置密钥 一、准备 本文在前文【杂谈】Godot4.4导出到安卓平台(调试导出)的基础上,进行正式导出。调试导出并不是真正的编译导…...
VBA将Word文档内容逐行写入Excel
如果你需要将Word文档的内容导入Excel工作表来进行数据加工,使用下面的代码可以实现: Sub ImportWordToExcel()Dim wordApp As Word.ApplicationDim wordDoc As Word.DocumentDim excelSheet As WorksheetDim filePath As VariantDim i As LongDim para…...
基于AI设计开发出来的业务系统是什么样的?没有菜单?没有表格?
基于AI设计开发出的业务系统仍然会包含菜单、表格等传统UI元素,但AI技术会显著改变它们的实现方式和交互逻辑。以下是具体分析: 一、传统元素的持续存在 功能刚需性 • 菜单承担着系统导航的核心功能,表格则是结构化数据展示的基础载体。根…...
)
C++ -异常之除以 0 问题(整数除以 0 编译时检测、整数除以 0 运行时检测、浮点数除以 0 编译时检测、浮点数除以 0 运行时检测)
一、整数除以 0(编译时检测) 1、演示 #include <iostream>using namespace std;int main() {int result 10 / 0;cout << result << endl;return 0; }程序无法运行,输出结果 error C2124: 被零除或对零求模2、演示解读 …...
数字足迹管理(DFM):你的网络隐身指南
数字足迹管理(DFM):你的网络隐身指南 你可能不知道,你的姓名、电话、住址正在网上被“明码标价” ——而这一切,可能只是因为你点过外卖、寄过快递,甚至注册过一个网站。 一、什么是数字足迹管理&#…...
如何避免“过度承诺”导致的验收失败
如何避免“过度承诺”导致的验收失败?关键在于: 评估可行性、设置合理目标、高频沟通反馈、阶段性验收、做好风险管理。其中设置合理目标至关重要,很多团队往往在项目初期为迎合客户或领导而报出“最理想方案”,忽略了资源、技术及…...
MySQL学习笔记集--游标
游标 在MySQL中,游标(Cursor)是一种数据库对象,它允许您逐行处理查询结果集。游标通常与存储过程一起使用,因为它们需要在存储过程或函数中声明和操作。游标的使用涉及几个步骤:声明游标、打开游标、从游标…...
紧跟数字人热潮:123 数字人分身克隆系统源码部署与风口洞察
在当今数字化浪潮中,数字人技术无疑已成为最具活力与潜力的领域之一,正以迅猛之势席卷多个行业,重塑着人们的交互方式与商业运作模式。C 站作为技术交流的前沿阵地,汇聚了众多关注前沿科技的开发者与技术爱好者,今天来…...
QT控件 修改QtTreePropertyBrowser自定义属性编辑器源码,添加第一列标题勾选,按钮,右键菜单事件等功能
头阵子遇到一个需要修改QtTreePropertyBrowser控件的需求,QT开发做这么久了,这个控件倒是第一次用,费了点时间研究,在这里做个简单的总结。 QtTreePropertyBrowser控件 是 Qt 解决方案 (Qt Solutions) 中的一个组件,用…...
Excel 日期值转换问题解析
目录 问题原因 解决方案 方法1:使用 DateTime.FromOADate 转换 方法2:处理可能为字符串的情况 方法3:使用 ExcelDataReader 时的处理 额外提示 当你在 Excel 单元格中看到 2024/12/1,但 C# 读取到 45627 时,这是…...
0. 七小时挑战:自研企业级任务调度器--前言
在软件开发的世界里,有一个亘古不变的问题:“为什么不直接用现成的?”这句话听起来合理、理性、务实,甚至有点老道。毕竟,时间宝贵、预算有限,轮子已经造好了,何必再动手? 但有时候…...
Spring 核心注解深度解析:@Autowired、@Repository 与它们的协作关系
引言 在 Spring 框架中,依赖注入(DI) 是实现松耦合架构的核心机制。Autowired 和 Repository 作为两个高频使用的注解,分别承担着 依赖装配 和 数据访问层标识 的关键职责。本文将深入探讨它们的功能特性、协作模式…...
开源模型应用落地-模型上下文协议(MCP)-从数据孤岛到万物互联(一)
一、前言 当开发者还在为每个AI工具编写臃肿的API适配器时,一场关于「连接」的技术革命已悄然降临。模型上下文协议(MCP)正在用一套全新的交互语法,重新定义人工智能与物理世界的对话方式。MCP协议如同为AI系统装上了“万能接口”…...
基于YOLO的半自动化标注方法:提升铁路视频缺陷检测效率
论文地址:https://arxiv.org/pdf/2504.01010 1. 论文结构概述 本文提出了一种半自动化标注方法,旨在解决铁路缺陷检测中大规模图像/视频数据集标注成本高、耗时长的问题。论文结构清晰,分为以下核心部分: 引言(Introduction) 强调传统手动标注的痛点(耗时、易错、…...
Spring Boot 国际化配置项详解
Spring Boot 国际化配置项详解 1. 核心配置项分类 将配置项分为以下类别,便于快速定位: 1.1 消息源配置(MessageSource 相关) 控制属性文件的加载、编码、缓存等行为。 配置项作用默认值示例说明spring.messages.basename指定属…...
【区块链安全 | 第三十八篇】合约审计之获取私有数据(二)
文章目录 前言漏洞代码代码审计攻击步骤修复建议审计思路 前言 在【区块链安全 | 第三十七篇】合约审计之获取私有数据(一)中,介绍了私有数据、访问私有数据实例、Solidity 中的数据存储方式等知识,本文通过分析具体合约代码进行…...
[ctfshow web入门] web23
前置知识 include:包含一个文件,也可以包含一些其他东西,后续用到再解析 substr:对字符串进行切片,第一个参数是字符串,第二第三个参数出从第a个索引开始切n个,索引从0开始计数。 例如…...
mac 苍穹外卖 后端初始 SkyApplication 报错
报错内容 java: java.lang.NoSuchFieldError: Class com.sun.tools.javac.tree.JCTree$JCImport does not have member field com.sun.tools.javac.tree.JCTree qualid deepseek 解决 打开 File > Project Structure > Project SDK, 选择 JDK17。我没有 JDK17就下载了一…...
CSS中的inline-flex与flex的区别
在CSS中,flex 和 inline-flex 都是用于实现弹性布局(Flexbox)的显示属性,但它们在布局行为上有所不同。 flex 属性会使元素表现为块级弹性容器,这意味着元素会在页面上占据一整行的空间,无论其内部内容的大…...
不用第三方库调用DeepSeek
又双叒叕很久不写博客,今天吐一口老曹。 一、为啥干这个 之前在修改OJ的时候,本着少修改多收益的原则,用Python写了一些DeepSeek的调用,真的很简单,用拉下来OpenAI按照官方文档复制粘贴就可以。接口文档页面ÿ…...