Jak włączyć logowanie dla Spring Security?

Question 1

Konfiguruję Spring Security, aby obsługiwał logujących się użytkowników. Zalogowałem się jako użytkownik i po pomyślnym zalogowaniu jestem przenoszony na stronę błędu odmowy dostępu. Nie wiem, jakie role faktycznie przypisano mojemu użytkownikowi ani jaka reguła powoduje odmowę dostępu, ponieważ nie mogę dowiedzieć się, jak włączyć debugowanie dla biblioteki Spring Security.

Mój plik XML bezpieczeństwa:

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
    <!-- security -->

    <security:debug/><!-- doesn't seem to be working -->

    <security:http auto-config="true">

        <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
        <security:form-login login-page="/Load.do"
            default-target-url="/Admin.do?m=loadAdminMain"
            authentication-failure-url="/Load.do?error=true"
            username-parameter="j_username"
            password-parameter="j_password"
            login-processing-url="/j_spring_security_check"/>
        <security:csrf/><!-- enable Cross Site Request Forgery protection -->
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:jdbc-user-service data-source-ref="loginDataSource"
                users-by-username-query="SELECT username, password, active FROM userinformation WHERE username = ?"
                authorities-by-username-query="
                    SELECT ui.username, r.rolename 
                    FROM role r, userrole ur, userinformation ui 
                    WHERE ui.username=? 
                    AND ui.userinformationid = ur.userinformationid 
                    AND ur.roleid = r.roleid "
            />
            <security:password-encoder hash="md5"/>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

Próbowałem też dodać log4j.logger.org.springframework.security=DEBUGdo mojego log4j.properties

Jak mogę uzyskać wyniki debugowania dla Spring Security?

Question 2

Zakładając, że używasz Spring Boot, inną opcją jest umieszczenie w application.properties:

logging.level.org.springframework.security=DEBUG

To samo dotyczy większości innych modułów Spring.

Jeśli nie używasz Spring Boot, spróbuj ustawić właściwość w konfiguracji logowania, np. Logback.

Oto również wersja application.yml:

logging:
  level:
    org:
      springframework:
        security: DEBUG

Question 3

Możesz łatwo włączyć obsługę debugowania, korzystając z opcji @EnableWebSecurityadnotacji:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Question 4

Podstawowe debugowanie za pomocą Springa DebugFiltermożna skonfigurować w następujący sposób:

@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.debug(true);
    }
}

Question 5

Możesz łatwo włączyć obsługę debugowania za pomocą opcji dla adnotacji @EnableWebSecurity:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Jeśli potrzebujesz kontroli specyficznej dla profilu, w pliku aplikacji- {profil} .properties

org.springframework.security.config.annotation.web.builders.WebSecurity.debugEnabled=false

Uzyskaj szczegółowy post: http://www.bytefold.com/enable-disable-profile-specific-spring-security-debug-flag/

Question 6

Wiosenne rejestrowanie zabezpieczeń dla reaktywnych aplikacji webflux jest teraz dostępne od wersji 5.4.0-M2 (jak wspomniał @bzhu w komentarzu Jak włączyć rejestrowanie dla Spring Security? )

Dopóki to nie trafi do wydania GA, oto jak uzyskać to wydanie przełomowe w gradle

repositories {
    mavenCentral()
    if (!version.endsWith('RELEASE')) {
        maven { url "https://repo.spring.io/milestone" }
    }
}

// Force earlier milestone release to get securing logging preview
// https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting-gradle-boot
// https://github.com/spring-projects/spring-security/pull/8504
// https://github.com/spring-projects/spring-security/releases/tag/5.4.0-M2
ext['spring-security.version']='5.4.0-M2'
dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:${springCloudVersion}"
    }

}

Question 7

Domyślnie Spring Security przekierowuje użytkownika na adres URL, którego pierwotnie zażądał (w twoim przypadku /Load.do) po zalogowaniu.

Możesz ustawić always-use-default-target na true, aby wyłączyć to zachowanie:

 <security:http auto-config="true">

    <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
    <security:form-login login-page="/Load.do"
        default-target-url="/Admin.do?m=loadAdminMain"
        authentication-failure-url="/Load.do?error=true"
        always-use-default-target = "true"
        username-parameter="j_username"
        password-parameter="j_password"
        login-processing-url="/j_spring_security_check"/>
    <security:csrf/><!-- enable Cross Site Request Forgery protection -->
</security:http>

Answer 1

Konfiguruję Spring Security, aby obsługiwał logujących się użytkowników. Zalogowałem się jako użytkownik i po pomyślnym zalogowaniu jestem przenoszony na stronę błędu odmowy dostępu. Nie wiem, jakie role faktycznie przypisano mojemu użytkownikowi ani jaka reguła powoduje odmowę dostępu, ponieważ nie mogę dowiedzieć się, jak włączyć debugowanie dla biblioteki Spring Security.

Mój plik XML bezpieczeństwa:

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
    <!-- security -->

    <security:debug/><!-- doesn't seem to be working -->

    <security:http auto-config="true">

        <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
        <security:form-login login-page="/Load.do"
            default-target-url="/Admin.do?m=loadAdminMain"
            authentication-failure-url="/Load.do?error=true"
            username-parameter="j_username"
            password-parameter="j_password"
            login-processing-url="/j_spring_security_check"/>
        <security:csrf/><!-- enable Cross Site Request Forgery protection -->
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:jdbc-user-service data-source-ref="loginDataSource"
                users-by-username-query="SELECT username, password, active FROM userinformation WHERE username = ?"
                authorities-by-username-query="
                    SELECT ui.username, r.rolename 
                    FROM role r, userrole ur, userinformation ui 
                    WHERE ui.username=? 
                    AND ui.userinformationid = ur.userinformationid 
                    AND ur.roleid = r.roleid "
            />
            <security:password-encoder hash="md5"/>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

Próbowałem też dodać log4j.logger.org.springframework.security=DEBUGdo mojego log4j.properties

Jak mogę uzyskać wyniki debugowania dla Spring Security?

Answer 2

2

sprawdź ten link, jeśli to może ci pomóc.

pise

Answer 3

1

@pise czy możesz to dodać jako odpowiedź (z przynajmniej odpowiednim fragmentem / podsumowaniem), abym mógł oznaczyć to jako rozwiązane?

Martin Carney

Answer 4

Zobacz odpowiedź na to pytanie: stackoverflow.com/questions/7840088/ ...

nevster

Answer 5

Heh - próbował dodać to jako odpowiedź i SO przekształcił go w komentarz.

Nevster

Answer 6

179

Zakładając, że używasz Spring Boot, inną opcją jest umieszczenie w application.properties:

logging.level.org.springframework.security=DEBUG

To samo dotyczy większości innych modułów Spring.

Jeśli nie używasz Spring Boot, spróbuj ustawić właściwość w konfiguracji logowania, np. Logback.

Oto również wersja application.yml:

logging:
  level:
    org:
      springframework:
        security: DEBUG

delucasvb
źródło

2

Czy to zakłada Spring Boot?

John Camerin,

1

@JohnCamerin Tak, to prawda. Ustawianie poziomów logowania application.propertiesjest funkcją Spring Boot. Jeśli nie używasz Spring Boot, możesz ustawić poziom logowania org.springframework.securityw inny sposób (np. W swoim logback.xml).

Dario Seidl

1

W przypadku WebFlux to nie działa: github.com/spring-projects/spring-security/issues/5758

bzhu

Dodaj, org.springframework.web.corsaby włączyć dzienniki procesora Cors.

Siggen,

Answer 7

2

Czy to zakłada Spring Boot?

John Camerin,

Answer 8

1

@JohnCamerin Tak, to prawda. Ustawianie poziomów logowania application.propertiesjest funkcją Spring Boot. Jeśli nie używasz Spring Boot, możesz ustawić poziom logowania org.springframework.securityw inny sposób (np. W swoim logback.xml).

Dario Seidl

Answer 9

1

W przypadku WebFlux to nie działa: github.com/spring-projects/spring-security/issues/5758

bzhu

Answer 10

Dodaj, org.springframework.web.corsaby włączyć dzienniki procesora Cors.

Siggen,

Answer 11

74

Możesz łatwo włączyć obsługę debugowania, korzystając z opcji @EnableWebSecurityadnotacji:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Michael Piefel
źródło

Co powiesz na EnableWebFluxSecurityto, że nie ma opcji debugowania

bzhu

1

Ach, ciekawe. Jednak nie mam doświadczenia z WebFlux.

Michael Piefel

1

czy istnieje sposób na kontrolowanie tej flagi z application.properties

Ankit Katiyar

Answer 12

Co powiesz na EnableWebFluxSecurityto, że nie ma opcji debugowania

bzhu

Answer 13

1

Ach, ciekawe. Jednak nie mam doświadczenia z WebFlux.

Michael Piefel

Answer 14

1

czy istnieje sposób na kontrolowanie tej flagi z application.properties

Ankit Katiyar

Answer 15

26

Podstawowe debugowanie za pomocą Springa DebugFiltermożna skonfigurować w następujący sposób:

@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.debug(true);
    }
}

Chris Suszyński
źródło

13

To dość słabe logowanie do debugowania. Wyświetla tylko nagłówki żądań i „łańcuch filtrów bezpieczeństwa”. W ogóle nie jest przydatne podczas śledzenia problemów z dostępem.

Chloe

Answer 16

13

To dość słabe logowanie do debugowania. Wyświetla tylko nagłówki żądań i „łańcuch filtrów bezpieczeństwa”. W ogóle nie jest przydatne podczas śledzenia problemów z dostępem.

Chloe

Answer 17

Możesz łatwo włączyć obsługę debugowania za pomocą opcji dla adnotacji @EnableWebSecurity:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Jeśli potrzebujesz kontroli specyficznej dla profilu, w pliku aplikacji- {profil} .properties

org.springframework.security.config.annotation.web.builders.WebSecurity.debugEnabled=false

Uzyskaj szczegółowy post: http://www.bytefold.com/enable-disable-profile-specific-spring-security-debug-flag/

Answer 18

Wiosenne rejestrowanie zabezpieczeń dla reaktywnych aplikacji webflux jest teraz dostępne od wersji 5.4.0-M2 (jak wspomniał @bzhu w komentarzu Jak włączyć rejestrowanie dla Spring Security? )

Dopóki to nie trafi do wydania GA, oto jak uzyskać to wydanie przełomowe w gradle

repositories {
    mavenCentral()
    if (!version.endsWith('RELEASE')) {
        maven { url "https://repo.spring.io/milestone" }
    }
}

// Force earlier milestone release to get securing logging preview
// https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting-gradle-boot
// https://github.com/spring-projects/spring-security/pull/8504
// https://github.com/spring-projects/spring-security/releases/tag/5.4.0-M2
ext['spring-security.version']='5.4.0-M2'
dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:${springCloudVersion}"
    }

}

Answer 19

Domyślnie Spring Security przekierowuje użytkownika na adres URL, którego pierwotnie zażądał (w twoim przypadku /Load.do) po zalogowaniu.

Możesz ustawić always-use-default-target na true, aby wyłączyć to zachowanie:

 <security:http auto-config="true">

    <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
    <security:form-login login-page="/Load.do"
        default-target-url="/Admin.do?m=loadAdminMain"
        authentication-failure-url="/Load.do?error=true"
        always-use-default-target = "true"
        username-parameter="j_username"
        password-parameter="j_password"
        login-processing-url="/j_spring_security_check"/>
    <security:csrf/><!-- enable Cross Site Request Forgery protection -->
</security:http>

Answer 20

3

To nie odpowiada na pytanie op.

Madbreaks

Jak włączyć logowanie dla Spring Security?

Odpowiedzi: