¿Cómo habilito el registro para Spring Security?

Question 1

Estoy configurando Spring Security para manejar el inicio de sesión de los usuarios. He iniciado sesión como usuario y se me lleva a una página de error Acceso denegado después de iniciar sesión correctamente. No sé qué roles se le han asignado realmente a mi usuario, o la regla que hace que se niegue el acceso, porque no puedo averiguar cómo habilitar la depuración para la biblioteca de Spring Security.

Mi xml de seguridad:

<?xml version="1.0" encoding="UTF-8"?>
<beans ... >
    <!-- security -->

    <security:debug/><!-- doesn't seem to be working -->

    <security:http auto-config="true">

        <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
        <security:form-login login-page="/Load.do"
            default-target-url="/Admin.do?m=loadAdminMain"
            authentication-failure-url="/Load.do?error=true"
            username-parameter="j_username"
            password-parameter="j_password"
            login-processing-url="/j_spring_security_check"/>
        <security:csrf/><!-- enable Cross Site Request Forgery protection -->
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>
            <security:jdbc-user-service data-source-ref="loginDataSource"
                users-by-username-query="SELECT username, password, active FROM userinformation WHERE username = ?"
                authorities-by-username-query="
                    SELECT ui.username, r.rolename 
                    FROM role r, userrole ur, userinformation ui 
                    WHERE ui.username=? 
                    AND ui.userinformationid = ur.userinformationid 
                    AND ur.roleid = r.roleid "
            />
            <security:password-encoder hash="md5"/>
        </security:authentication-provider>
    </security:authentication-manager>
</beans>

También intenté agregar log4j.logger.org.springframework.security=DEBUGa mis log4j.properties

¿Cómo puedo obtener resultados de depuración para Spring Security?

Question 2

Suponiendo que está usando Spring Boot, otra opción es poner lo siguiente en su application.properties:

logging.level.org.springframework.security=DEBUG

Esto también es lo mismo para la mayoría de los otros módulos Spring.

Si no está utilizando Spring Boot, intente establecer la propiedad en su configuración de registro, por ejemplo, logback.

Aquí está también la versión application.yml:

logging:
  level:
    org:
      springframework:
        security: DEBUG

Question 3

Puede habilitar fácilmente el soporte de depuración usando una opción para la @EnableWebSecurityanotación:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Question 4

La depuración básica con Spring DebugFilterse puede configurar así:

@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.debug(true);
    }
}

Question 5

Puede habilitar fácilmente el soporte de depuración usando una opción para la anotación @EnableWebSecurity:

@EnableWebSecurity(debug = true)
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {
    …
}

Si necesita un control específico del perfil en su aplicación- {profile} .properties file

org.springframework.security.config.annotation.web.builders.WebSecurity.debugEnabled=false

Obtenga publicación detallada: http://www.bytefold.com/enable-disable-profile-specific-spring-security-debug-flag/

Question 6

El registro de seguridad de Spring para aplicaciones reactivas de webflux ahora está disponible a partir de la versión 5.4.0-M2 (como lo menciona @bzhu en el comentario ¿Cómo habilito el registro para Spring Security? )

Hasta que esto llegue a una versión de GA, aquí se explica cómo obtener esta versión de hito en gradle

repositories {
    mavenCentral()
    if (!version.endsWith('RELEASE')) {
        maven { url "https://repo.spring.io/milestone" }
    }
}

// Force earlier milestone release to get securing logging preview
// https://docs.spring.io/spring-security/site/docs/current/reference/html5/#getting-gradle-boot
// https://github.com/spring-projects/spring-security/pull/8504
// https://github.com/spring-projects/spring-security/releases/tag/5.4.0-M2
ext['spring-security.version']='5.4.0-M2'
dependencyManagement {
    imports {
        mavenBom "org.springframework.cloud:spring-cloud-dependencies:${springCloudVersion}"
    }

}

Question 7

De forma predeterminada, Spring Security redirige al usuario a la URL que solicitó originalmente (/Load.do en su caso) después de iniciar sesión.

Puede establecer always-use-default-target en true para deshabilitar este comportamiento:

 <security:http auto-config="true">

    <security:intercept-url pattern="/Admin**" access="hasRole('PROGRAMMER') or hasRole('ADMIN')"/>
    <security:form-login login-page="/Load.do"
        default-target-url="/Admin.do?m=loadAdminMain"
        authentication-failure-url="/Load.do?error=true"
        always-use-default-target = "true"
        username-parameter="j_username"
        password-parameter="j_password"
        login-processing-url="/j_spring_security_check"/>
    <security:csrf/><!-- enable Cross Site Request Forgery protection -->
</security:http>