正文 

当前位置: 首页 > 知识 >

记录 Spring Security OAuth2 身份验证失败的推荐方法是啥?

     2023-02-27     83

关键词:

【中文标题】记录 Spring Security OAuth2 身份验证失败的推荐方法是啥?【英文标题】:What is the recommended approach for logging Spring Security OAuth2 authentication failures?记录 Spring Security OAuth2 身份验证失败的推荐方法是什么? 【发布时间】:2020-12-03 16:12:00 【问题描述】:

我正在开发一个使用 Spring Security 5.3.3、Spring Security OAuth 2.5.0 的 Spring Web 应用程序(不是 Spring Boot),并进行如下配置:

http.authorizeRequests().
    antMatchers(permitUrls).
    permitAll().
    anyRequest().
    authenticated().
    and().
    oauth2ResourceServer().
    jwt();

我们的客户偶尔会报告我们在应用程序日志中找不到的 401 响应,因此我们假设它来自 Spring Security 本身。我们想记录身份验证和授权失败,但我不知道当前首选的方法是什么。

快速搜索发现 4 条路径:

自定义AuthenticationFailureHandler(好像这个只在FormLoginConfigurer中可用,不是我们的情况) custom AuthenticationEntryPoint(这个可以在 JWT 中使用,但是我要扩展的 OAuth2AuthenticationEntryPoint 是deprecated with an unhelpful message)。我可以尝试改用 HttpStatusEntryPoint,但我想避免更改应用的当前行为,只想添加日志记录。 自定义过滤器(可能不是最干净的路径) AuditApplicationEvents — 看起来很漂亮,但似乎只适用于 Spring Boot。

谁能给我一些指导?

【问题讨论】:

【参考方案1】:

我建议通过将org.springframework.security 的日志级别更改为DEBUG 来激活它。 根据您的日志工具(log4j2、logback、...),在您的日志配置中创建一个名称为 org.springframework.security 和级别为 DEBUG 的记录器。

【讨论】:

Spring Security OAuth2 v5:NoSuchBeanDefinitionException:'org.springframework.security.oauth2.jwt.Jwt

】SpringSecurityOAuth2v5:NoSuchBeanDefinitionException:\\\'org.springframework.security.oauth2.jwt.JwtDecoder\\\'【英文标题】:SpringSecurityOAuth2v5:NoSuchBeanDefinitionException:\'org.springframework.security.oauth2.jwt.JwtDec 查看详情

如何使用spring-security,oauth2调整实体的正确登录?

】如何使用spring-security,oauth2调整实体的正确登录?【英文标题】:Howtunecorrectloginforentitywithspring-secuity,oauth2?【发布时间】:2019-05-1822:01:35【问题描述】:我用crud操作创建了一个实体。我用过spring-boot、spring-security、oauth2、jwt。... 查看详情

oauth2 spring-security 成功和失败处理程序

】oauth2spring-security成功和失败处理程序【英文标题】:oauth2spring-securitysuccessandfailurehandler【发布时间】:2014-07-2114:44:05【问题描述】:我正在使用带有OAuth2的SpringSecurity。除了登录成功和失败处理程序外,它工作正常。与SpringWebS... 查看详情

Spring Security OAuth2 资源服务器重试/弹性

】SpringSecurityOAuth2资源服务器重试/弹性【英文标题】:SpringSecurityOAuth2ResourceServerretry/resilience【发布时间】:2018-08-1714:26:26【问题描述】:我正在使用SpringSecurityOAuth2(http://projects.spring.io/spring-security-oauth/docs/oauth2.html)开发资源服... 查看详情

无状态的 Spring Security oauth2 提供者

】无状态的SpringSecurityoauth2提供者【英文标题】:Statelessspringsecurityoauth2provider【发布时间】:2016-11-0920:47:35【问题描述】:我想基于spring-boot、spring-security和spring-oauth2设置一个简单的OAuth2提供程序。我在单实例机器上完成了所有... 查看详情

oauth2 spring-security 如果您在请求令牌或代码之前登录

】oauth2spring-security如果您在请求令牌或代码之前登录【英文标题】:oauth2spring-securityshouldyoubeloggedinbeforerequestingatokenorcode【发布时间】:2014-12-1915:52:07【问题描述】:我正在尝试在spring-mvc应用程序中使用spring-security(2.0.3.RELEASE)设... 查看详情

Spring Security 4 + OAuth2 = 坏凭证

】SpringSecurity4+OAuth2=坏凭证【英文标题】:SpringSecurity4+OAuth2=BadCredentials【发布时间】:2016-09-1213:34:47【问题描述】:我正在使用SpringSecurity+Oauth2进行多个提议。场景是:有一个公共上下文、一个私有上下文和一个REST上下文(最... 查看详情

Oauth2 资源服务器重叠 Spring Security 配置

】Oauth2资源服务器重叠SpringSecurity配置【英文标题】:Oauth2ResourceserveroverlapSpringSecurityconfiguration【发布时间】:2017-03-2512:29:59【问题描述】:我正在尝试在javaconfig上配置SpringSecurity和OAuth2。我正在使用SpringSecurity版本4.0.4.RELEASE和O... 查看详情

Spring Boot + Spring Security + Spring OAuth2 + Google 登录

】SpringBoot+SpringSecurity+SpringOAuth2+Google登录【英文标题】:SpringBoot+SpringSecurity+SpringOAuth2+GoogleSignin【发布时间】:2017-08-0107:22:59【问题描述】:我已经设置了一个小项目,使用SpringBoot(1.5.2)、SpringSecurity和SpringSecurityOAuth2实现OAuth2Log... 查看详情

微服务和 Spring Security OAuth2

】微服务和SpringSecurityOAuth2【英文标题】:MicroservicesandSpringSecurityOAuth2【发布时间】:2014-12-2711:34:21【问题描述】:我已经在另一个项目中运行了OAuth2授权服务器。现在我需要使用OAuth2保护几个简单的spring-boot休息服务器。但我... 查看详情

Spring Security OAuth2 - 将参数添加到授权 URL

】SpringSecurityOAuth2-将参数添加到授权URL【英文标题】:SpringSecurityOAuth2-AddparametertoAuthorizationURL【发布时间】:2015-09-0513:37:09【问题描述】:我正在使用SpringSecurity和OAuth2使用以下项目进行身份验证/授权。http://projects.spring.io/spring-... 查看详情

CORS 干扰 Spring Security oauth2

】CORS干扰SpringSecurityoauth2【英文标题】:CORSinterferingwithSpringSecurityoauth2【发布时间】:2017-11-0915:56:20【问题描述】:我在尝试从浏览器的oauth/token获取令牌时遇到问题。我有一个带有SpringSecurity和SpringSecurityoauth的SpringBoot应用程序... 查看详情

Spring Security + spring oauth2 解析

】SpringSecurity+springoauth2解析【英文标题】:SpringSecurity+springoauth2resolution【发布时间】:2016-03-0500:10:19【问题描述】:我正在开发一个使用spring开发的新REST服务器。服务器必须只有服务器端逻辑,没有js或视图。目前我从Spring-boot... 查看详情

OAuth2 Spring Security - OAuth2AuthenticationProcessingFilter 不起作用

】OAuth2SpringSecurity-OAuth2AuthenticationProcessingFilter不起作用【英文标题】:OAuth2SpringSecurity-OAuth2AuthenticationProcessingFilternotworking【发布时间】:2014-07-2722:44:30【问题描述】:嘿,我正在使用OAuth2实现Spring应用程序。根据springdocumentation... 查看详情

Spring 网站的 Spring Security Oauth2

】Spring网站的SpringSecurityOauth2【英文标题】:SpringSecurityOauth2forSpringWebsite【发布时间】:2016-09-2120:17:17【问题描述】:我们正在开发一个项目,该项目有一个Spring网站、为第三方客户提供的RestWeb服务和我们自己的移动应用程序。... 查看详情

使用 spring-session 和 spring-cloud-security 时,OAuth2ClientContext (spring-security-oauth2) 不会保留在 Redis

】使用spring-session和spring-cloud-security时,OAuth2ClientContext(spring-security-oauth2)不会保留在Redis中【英文标题】:OAuth2ClientContext(spring-security-oauth2)notpersistedinRediswhenusingspring-sessionandspring-cloud-security【发布时间】:20 查看详情

Spring Security OAuth2 AngularJS |注销流程

】SpringSecurityOAuth2AngularJS|注销流程【英文标题】:SpringSecurityOAuth2AngularJS|LogoutFlow【发布时间】:2017-06-1013:10:34【问题描述】:参考oauth2spring-guides项目中的注销流程,一旦用户第一次使用用户/密码进行身份验证,下次注销后不再... 查看详情

Spring security oauth2 - 从 OAuth2 主体获取自定义数据

】Springsecurityoauth2-从OAuth2主体获取自定义数据【英文标题】:Springsecurityoauth2-gettingcustomdatafromOAuth2principal【发布时间】:2013-04-1700:00:42【问题描述】:我有一个使用Spring安全性并具有用户(用户名和密码)和标准表单身份验证的... 查看详情