使用Spring Security在Spring Boot中进行缓存

在这篇文章中,我想分享一下O&B的一个团队的经验教训。 他们正在使用带有Spring Security的Spring Boot。

默认情况下,Spring Security保护的所有内容都将通过以下HTTP标头发送到浏览器:

Cache-Control: no-cache, no-store, max-age=0, must-revalidate

本质上,响应将永远不会被浏览器缓存。 尽管这似乎效率低下,但实际上有充分的理由要采用这种默认行为。 当一个用户注销时,我们不希望下一个登录的用户能够看到前一个用户的资源(如果缓存了,则可以这样做)。

默认情况下不缓存任何内容,并保留显式启用缓存是有意义的。 但是,如果不缓存任何内容,则不好,因为这会导致高带宽使用和缓慢的页面加载。

很好的是,在Spring Boot中启用静态内容缓存非常容易(即使使用Spring Security也是如此)。 只需配置一个缓存周期。 就是这样!

# Boot 2.x
spring.resources.cache.cachecontrol.max-age=14400# Boot 1.x
spring.resources.cache-period=14400

但是有一些陷阱! 对于某些版本,它不是那么简单! 让我进一步解释。

有几种方法可以返回内容:

  1. 通过Spring Boot自动配置的静态资源请求处理程序的静态内容
  2. 控制器方法返回视图名称(例如,解析为JSP)
  3. 返回HttpEntity (或ResponseEntity )的控制器方法

启用静态内容缓存

第一个(提供静态内容)是通过配置所述属性(通常在如上所述的application.properties中)来处理的。

通过HttpServletResponse设置

在第二种情况下,控制器处理程序方法可以选择通过HttpServletResponse方法参数设置“ Cache-Control”标头。

@Controller
... class ... {@RequestMapping(...)public String ...(..., HttpServletResponse response) {response.setHeader("Cache-Control", "max-age=14400");return ...; // view name}
}

只要Spring Security不会覆盖它,它就可以工作。

通过HttpEntity / ResponseEntity设置

在第三种情况下,控制器处理程序方法可以选择设置返回的HTTP实体的“ Cache-Control”标头。

@Controller
... class ... {@RequestMapping(...)public ResponseEntity<...> ...(...) {return ResponseEntity.ok().cacheControl(...).body(...);}
}

只要Spring Security还没有编写自己的“ Cache-Control”头文件,它就可以工作。

引擎盖下

引擎盖下

要了解其工作时间和原因,以下是相关序列。

对于Spring Security Web 4.0.x,4.2.0和4.2.4及更高版本,将发生以下顺序:

  1. 如果不存在缓存头,则HeaderWriterFilter委托CacheControlHeadersWriter编写“ Cache-Control”头(包括“ Pragma”和“ Expires”)。
  2. 调用控制器处理程序方法(如果匹配)。 该方法可以:
    • HttpServletResponse明确设置标头。
    • 或者,设置在返回的报头HttpEntityResponseEntity (参照handleReturnValue()的方法HttpEntityMethodProcessor )。
      • 请注意,如果HttpEntityMethodProcessor 还不存在HttpEntityMethodProcessor仅将头(来自HttpEntity )写入实际响应。 这是一个问题,因为早在#1中,标头已经设置好了。
  3. 如果没有控制器处理该请求,那么Spring Boot自动配置的静态资源请求处理程序将获得机会。 它尝试提供静态内容,并且如果配置为缓存,它将覆盖“ Cache-Control”标头(并清除“ Pragma”和“ Expires”标头的值,如果有的话)。 静态资源处理程序是ResourceHttpRequestHandler对象(请参阅其WebContentGenerator基类中的applyCacheControl()方法)。
    • 但是,在Spring Web MVC 4.2.5中, WebContentGenerator仅在不存在时才写入“ Cache-Control”标头 。 这是一个问题,因为早在#1中,标头已经设置好了。
    • 在Spring Web MVC 4.2.6及更高版本中,即使它已经存在,它也会添加“ Cache-Control”标头。 因此,即使已在#1中设置了标头也没有问题。

使用Spring Security Web 4.1.x,4.2.5和更高版本(在Spring Boot 1.5.11中使用版本4.2.5),顺序已更改。 它是这样的:

  1. 调用控制器处理程序方法(如果匹配)。 该方法可以:
    • HttpServletResponse明确设置标头。
    • 或者,设置在返回的报头HttpEntityResponseEntity (参照handleReturnValue()的方法HttpEntityMethodProcessor )。
      • 请注意,如果HttpEntityMethodProcessor 还不存在HttpEntityMethodProcessor仅将头(来自HttpEntity )写入实际响应。 没问题,因为尚未设置标题。
  2. 如果没有控制器处理该请求,那么Spring Boot自动配置的静态资源请求处理程序将获得机会。 它尝试提供静态内容,并且如果配置为缓存,它将覆盖“ Cache-Control”标头(并清除“ Pragma”和“ Expires”标头的值,如果有的话)。
  3. 如果不存在缓存头,则HeaderWriterFilter委托CacheControlHeadersWriter编写“ Cache-Control”头(包括“ Pragma”和“ Expires”)。
    • 没问题,因为如果已经设置了缓存头,它将不会覆盖。

工作版本

以上三种控制缓存的情况都在Spring Boot 1.5.11和Spring Boot 2.x中起作用。 但是,如果无法升级到那些版本,请参见以下类,并检查它是否具有您想要的行为(使用上述顺序):

      • HeaderWriterFilter (请参阅doFilterInternal方法)
      • CacheControlHeadersWriter (请参阅writeHeaders()方法)
      • WebContentGenerator (请参阅applyCacheControl()方法)
      • HttpEntityMethodProcessor (请参见handleReturnValue()方法)

另外,请注意,Spring Security Web 4.2.5及更高版本将写入以下HTTP标头(即使已设置它们,也将其覆盖,例如,在控制器中):

      • 通过XContentTypeOptionsHeaderWriter X-Content-Type-Options
      • 通过HstsHeaderWriter Strict-Transport-Security HstsHeaderWriter
      • 通过XFrameOptionsHeaderWriter X-Frame-Options
      • 通过XXssProtectionHeaderWriter X-XSS-Protection

这是因为,与CacheControlHeadersWriter不同,上述内容的标头编写器不会检查标头是否已经存在。 他们只需设置各自的HTTP标头即可。 请参考各自的标题编写器类,并发布#5193 。

另一种选择是让Spring Security忽略静态资源请求。 这样,配置的缓存周期将不会被覆盖。

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {@Overridepublic void configure(WebSecurity web) throws Exception {web.ignoring().antMatchers("/css/**", "/js/**");// If the above paths are served by the// Spring Boot auto-configured// static resource request handler,// and a cache period is specified,// then it will have a "Cache-Control"// HTTP header in its response.// And it would NOT get overwritten by Spring Security.}
}

目前为止就这样了。 希望这可以清除一切。

翻译自: https://www.javacodegeeks.com/2018/07/caching-spring-boot-spring-security.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/346206.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

wifi定位算法android,WIFI定位算法

网络定位指通过周边wifi列表、基站列表、IP地址等信息确定用户位置的过程。 我们采集的训练数据是每个GPS坐标位置和对应的Wifi和基站列表。 其中每个Wifi和基站有唯一的Mac地址作为ID和信号强度。有三种定位方法&#xff1a;均值法首先估计一个wifi的中心点位置&#xff0c;可…

仿小黄车android定位,小黄车ofo是怎么实现自行车定位功能的?

摩拜单车通过车身携带的GPS而实现单车定位&#xff0c;但是我们知道ofo是没有安装GPS&#xff0c;它又是如何实现单车定位的呢&#xff1f;我居住的地方距离地铁站步行大约15分钟左右&#xff0c;距离最近的商场步行将近30分钟&#xff0c;距离周边的便利店,水果店,饭店等步行1…

python苹果下载软件助手哪个好_Mac上有什么实用的必备软件?

Mac上的一些软件真的超好用&#xff0c;比如...每天依据时间变化的壁纸&#xff0c;看清晨、看夕阳我是 Super叔 ,关注了就是好朋友,这里说明下还是,软件只是工具,初衷是为了方便自己提高效率,别为了去模仿所谓某某软件可以怎么怎么复杂的,用得多么炫酷好用,而去花非常多精力为…

hibernate 刷新_Hibernate事实:了解刷新操作顺序很重要

hibernate 刷新Hibernate将开发人员的思维方式从思考SQL转变为思考对象状态转换。 根据Hibernate Docs&#xff0c;实体可能处于以下状态之一&#xff1a; new / transient&#xff1a;实体不与持久性上下文相关联&#xff0c;因为它是数据库不知道的新创建的对象。 持久性&a…

android变量要不要附空值,android-如何在使用Parcelable时序列化空值

我见过的大多数序列化代码都使用两个标志来指示值的存在/不存在&#xff0c;或者在值前加上一个计数字段(例如&#xff0c;在编写数组时)&#xff0c;如果该值不等于&#xff0c;则计数字段仅设置为零。 根本不存在。检查Android核心类的源代码会发现以下代码(来自Message类)&a…

gprs连接中断记录_请收好!脉搏波血压计连接天天血压APP使用指南

总有那么几个粗心的小伙伴丢失了说明书&#xff0c;在后台追问波哥如何连接“天天血压”&#xff0c;于是给大家安排了这篇使用指南。首先我们来了解下“天天血压”的功能&#xff1a;1.通过蓝牙或GPRS传输&#xff0c;同步记录每次测量结果&#xff1b;2. 血压趋势分析&#x…

使用Spring Boot,JHipster和React构建照片库PWA

“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕&#xff1f; 尝试使用Okta API进行托管身份验证&#xff0c;授权和多因素身份验证。 从本质上讲&#xff0c;React只是一个UI工具包&#xff0c;即ala GWT&#xff0c;但是…

html5画布funcition,2020前端基础知识学习第一节(示例代码)

一、选择题1. 浏览器端的存储技术有哪些()A.cookie  B.localStorage  C.session  D.userData答案&#xff1a;A B D分析&#xff1a;cookie通常用于存储用户等登录信息&#xff0c;能够存储的数据是有限的&#xff0c;而且在指定域名下所有的请求都会带上。localStoage是…

names文件和data文件_data.table让你的读取速度提升百倍

不知道大家有没有用read.table和read.csv读取过文件&#xff0c;当文件不大的时候你可能还感觉不出读取速度&#xff0c;但是当文件比较大的时候&#xff0c;比如有上万行的时候&#xff0c;你就会感觉到等待时间明显变长&#xff0c;甚至无法忍受。今天小编给大家安利一个实用…

差分放大电路差模共模公式_提高差分放大器的共模抑制比,电阻的选择很关键...

在各种应用领域&#xff0c;采用模拟技术时都需要使用差分放大器电路。例如测量技术&#xff0c;根据其应用的不同&#xff0c;可能需要极高的测量精度。为了达到这一精度&#xff0c;尽可能减少典型误差源(例如失调和增益误差&#xff0c;以及噪声、容差和漂移)至关重要。为此…

计算机网络的含义是什么意思,互联网的基本含义是什么

互联网大家都知道&#xff0c;但是互联网的基本含义都了解吗?学习啦小编为大家整理了相关内容&#xff0c;供大家参考阅读!互联网的基本含义互联网是由一些使用公用语言互相通信的计算机连接而成的网络&#xff0c;即广域网、局域网及单机按照一定的通讯协议组成的国际计算机网…

在单个try-with-resources语句中仔细指定多个资源

Java 7更有用的新功能之一是引入了try-with-resources语句 [AKA 自动资源管理 &#xff08; ARM &#xff09;]。 try-with-resources语句的吸引力在于其承诺 “确保在语句末尾关闭每个资源”。 在这种情况下&#xff0c;“资源”是实现AutoCloseable及其close&#xff08;&…

两轮差速机器人舵机转轴示意图_机器人教程2:舵机及转向控制原理

图3舵机外形图2、舵机的组成一般来讲&#xff0c;舵机主要由以下几个部分组成&#xff0c;舵盘、减速齿轮组、位置反馈电位计、直流电机、控制电路等&#xff0c;如图4、图5所示。图4舵机的组成示意图图5舵机组成舵机的输入线共有三条&#xff0c;如图6所示&#xff0c;红色中间…

label标签 html5,HTML5 label 标签

实例HTML5 标签用于为 input 元素做出标记。带有两个输入字段和相关标记的简单 HTML 表单&#xff1a;MaleFemale尝试一下 浏览器支持目前大多数浏览器支持 标签。标签定义及使用说明标签为 input 元素定义标注(标记)。label 元素不会向用户呈现任何特殊效果。不过&#xff0c;…

me shy是什么歌 抖音make_抖音星河滚烫你是人间的理想下一句是什么歌 星河歌词完整版...

最近在抖音上听到一段话&#xff0c;这段话的开头是“星河滚烫&#xff0c;你是人间的理想……”。抖音星河滚烫你是人间的理想下一句是什么歌&#xff1f;星河歌词介绍&#xff1f;星河&#xff0c;是非常好听的一首歌曲&#xff0c;是很多人都喜欢的一首歌曲。抖音星河滚烫你…

修改使用计算机的名称,Windows 10中修改计算机名称的方法,你知道几种?

当用户新入手一台电脑时&#xff0c;通常做的第一件事就是做一些个性化设置。一般来说个性化的第一步就是给计算机起一个自己满意的名字&#xff0c;下面介绍几种修改计算机名字的方法。通过设置更改计算机名字按WinI键进入设置,在设置窗口中找到“系统”&#xff0c;点击它。在…

apollo 参数传递_使用Apollo通过WebSocket通过STOMP轻松进行消息传递

apollo 参数传递在我以前的文章中&#xff0c;我介绍了几个有趣的用例&#xff0c;这些用例使用著名的消息代理HornetQ和ActiveMQ通过Websockects实现STOMP消息传递。 但是我没有介绍的是Apollo&#xff0c;因为我个人认为它的API是冗长的&#xff0c;并且不像Java开发人员那样…

mysql不能改编码_(转)MySQL设置和修改编码问题

mysql版本&#xff1a;5.7.18一、常用查看字符集设定命令1、查看数据库支持的所有字符集。show character set;(或 show char set;)2、查看当前状态命令(显示结果会包含数据库的字符集设置)status(或 /s)其中Db characterset对应的是数据库目录下的db.opt文件内容。(查到mysql安…

python 编程语言排行榜_2019年6月编程语言排行榜:Python 排名飙升,三年内有望超越Java...

TIOBE 6 月编程语言排行榜 更新已发布&#xff0c;排名前三的依然是&#xff1a;Java, C, Python。本月Python的TIOBE指数再次创下8.5%的历史新高。如果Python能够保持这样的速度&#xff0c;那它完全有可能在3到4年内取代C和Java&#xff0c;从而成为世界上***的编程语言。Pyt…

使用IntelliJ调试Java流

流功能非常强大&#xff0c;只需几行就可以捕获您预期功能的要点。 但是&#xff0c;就像它们在一切正常工作时一样平滑&#xff0c;就像它们在表现不正常时一样令人痛苦。 了解如何使用IntelliJ调试Java Streams并深入了解Stream的中间操作。 在本文中&#xff0c;我将在示例…