springSecurity jwt 认证与鉴权及异常

最新推荐文章于 2022-11-03 09:30:04 发布
最新推荐文章于 2022-11-03 09:30:04 发布
阅读量2.7k 收藏 5
点赞数
分类专栏: # 签名与安全 权限 文章标签: security 认证与鉴权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/C18298182575/article/details/119839364
版权

如图红色框

 

 问题:

1.认证

1.1 什么是认证,什么时候认证,认证什么东西,怎么算成功,怎么算失败

1.2 认证失败怎么处理

1.3 与jwt关系

2.鉴权

1.1 什么是鉴权,如何鉴权,鉴权什么东西,怎么算成功,怎么算失败

1.2 鉴权失败怎么处理

1.3 与jwt关系

---------------------------------------------------------------------------------------------------------------------------

答:

1.认证

1.1

什么是认证:就是验签(常规的签名,验签),根据token和秘钥secret解析jwt

什么时候:调用接口时需要传递token进行认证;

认证什么:校验用户名,操作用户是否是登录用户,token是不过期

失败:根据token反解jwt异常,如下

 private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.info("JWT格式验证失败:{}", token, e);
        }
        return claims;
    }

1.2

调用接口,走jwt过滤器,因为无法根据token解析jwt,无法后续认证(用户名,过期),过掉这个调用链。需要自定义一个认证失败处理器。两种方式,见下

/**
 * 当未登录或者token失效访问接口时,自定义的返回结果
 */
@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {
//public class RestAuthenticationEntryPoint implements AuthenticationFailureHandler {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSON.toJSONString(BaseResult.unauthorized(authException.getMessage())));
        response.getWriter().flush();
    }

//    @Override
//    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse,
//                    AuthenticationException e) throws IOException, ServletException {
//
//    }
}

1.3

在springSecurigy config加入 认证过滤器,以下代码为securityConfig

见:::://添加自定义未授权和未登录结果返回

2.鉴权

先说一下权限控制,有两种

1.返回有权限的菜单或按钮,不可见即没权限;2.看不见,如果直接调接口,无权限也无法访问

这里鉴权就是针对第二种情况

2.1 什么是鉴权:带token调某接口,该用户是否有权限

2.2 如何鉴权:纯security 与 jwt无关。也有关系,调接口都要走jwt过滤器,在过滤器中调用了渲染权限的接口,见 JwtAuthenticationTokenFilter

2.2.1 调接口时实时从数据库中取用户权限信息,放入security

2.2.2 在每一个接口上加权限注解 @PreAuthorize,标明当前接口权限 如:

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        //获取登录用户信息
        return username -> {
            SysUser sysUser = sysUserService.getAdminByUsername(username);
            if (sysUser != null) {
                List<SysPermission> permissionList = sysUserService.getPermissionList(sysUser.getId());
                return new AdminUserDetails(sysUser, permissionList);
            }
            throw new UsernameNotFoundException("用户名或密码错误");
        };
    }

    @PreAuthorize("hasAuthority('product')")
    @GetMapping("myRoom")
    @ApiOperation("我的直播间")
    public BaseResult<ResTextLiveProgramVo> myChatRoom() {
	return textLiveProgrammeService.myChatRoom();
    }

怎么算成功,怎么算失败:security封装好了

1.2 鉴权失败怎么处理

以上工作完成后,无权限报错: 不允许访问,这是security封装的异常消息。我们可以自定义自己的无权限处理类

/**
 * 访问接口没有权限时,自定义的返回结果
 */
@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler{
    @Override
    public void handle(HttpServletRequest request,
                       HttpServletResponse response,
                       AccessDeniedException e) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.getWriter().println(JSON.toJSONString(BaseResult.forbidden(e.getMessage())));
        response.getWriter().flush();
    }
}

1.3 与jwt关系

见上2.2,

        //添加自定义未授权和未登录结果返回
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);

SecurityConfig

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private ISysUserService sysUserService;
    @Autowired
    private RestfulAccessDeniedHandler restfulAccessDeniedHandler;
    @Autowired
    private RestAuthenticationEntryPoint restAuthenticationEntryPoint;

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.csrf()// 由于使用的是JWT,我们这里不需要csrf
                .disable()
                .sessionManagement()// 基于token,所以不需要session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                .antMatchers(HttpMethod.GET, // 允许对于网站静态资源的无授权访问
                        "/",
                        "/*.html",
                        "/favicon.ico",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/swagger-resources/**",
                        "/v2/api-docs/**"
                )
                .permitAll()
                .antMatchers("/sys/user/login", "/sys/user/register")// 对登录注册要允许匿名访问
                .permitAll()
                .antMatchers(HttpMethod.OPTIONS)//跨域请求会先进行一次options请求
                .permitAll()
                .antMatchers("/**")//测试时全部运行访问
                        .permitAll()
                .anyRequest()// 除上面外的所有请求全部需要鉴权认证
                .authenticated();
        // 禁用缓存
        httpSecurity.headers().cacheControl();
        // 添加JWT filter
        httpSecurity.addFilterBefore(jwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class);
        //添加自定义未授权和未登录结果返回
        httpSecurity.exceptionHandling()
                .accessDeniedHandler(restfulAccessDeniedHandler)
                .authenticationEntryPoint(restAuthenticationEntryPoint);
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetailsService())
                .passwordEncoder(passwordEncoder());
    }

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    @Bean
    public UserDetailsService userDetailsService() {
        //获取登录用户信息
        return username -> {
            SysUser sysUser = sysUserService.getAdminByUsername(username);
            if (sysUser != null) {
                List<SysPermission> permissionList = sysUserService.getPermissionList(sysUser.getId());
                return new AdminUserDetails(sysUser, permissionList);
            }
            throw new UsernameNotFoundException("用户名或密码错误");
        };
    }

    @Bean
    public JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter(){
        return new JwtAuthenticationTokenFilter();
    }

    /**
     * 允许跨域调用的过滤器
     */
    @Bean
    public CorsFilter corsFilter() {
        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        CorsConfiguration config = new CorsConfiguration();
        config.addAllowedOrigin("*");
        config.setAllowCredentials(true);
        config.addAllowedHeader("*");
        config.addAllowedMethod("*");
        source.registerCorsConfiguration("/**", config);
        FilterRegistrationBean<CorsFilter> bean = new FilterRegistrationBean<CorsFilter>(new CorsFilter(source));
        bean.setOrder(0);
        return new CorsFilter(source);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

}

JwtAuthenticationTokenFilter

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtAuthenticationTokenFilter.class);
    @Autowired
    private UserDetailsService userDetailsService;
    @Autowired
    private JwtTokenUtil jwtTokenUtil;
    @Value("${jwt.tokenHeader}")
    private String tokenHeader;
    @Value("${jwt.tokenHead}")
    private String tokenHead;

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader(this.tokenHeader);
        if (authHeader != null && authHeader.startsWith(this.tokenHead)) {
            String authToken = authHeader.substring(this.tokenHead.length());// The part after "Bearer "
            String username = jwtTokenUtil.getUserNameFromToken(authToken);
            LOGGER.info("checking username:{}", username);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    LOGGER.info("authenticated user:{}", username);
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        }
        chain.doFilter(request, response);
    }
}

 JwtTokenUtil

/**
 * JwtToken生成的工具类
 * JWT token的格式:header.payload.signature
 * header的格式(算法、token的类型):
 * {"alg": "HS512","typ": "JWT"}
 * payload的格式(用户名、创建时间、生成时间):
 * {"sub":"wang","created":1489079981393,"exp":1489684781}
 * signature的生成算法:
 * HMACSHA512(base64UrlEncode(header) + "." +base64UrlEncode(payload),secret)
 * Created by macro on 2018/4/26.
 */
@Component
public class JwtTokenUtil {
    private static final Logger LOGGER = LoggerFactory.getLogger(JwtTokenUtil.class);
    private static final String CLAIM_KEY_USERNAME = "sub";
    private static final String CLAIM_KEY_CREATED = "created";
    @Value("${jwt.secret}")
    private String secret;
    @Value("${jwt.expiration}")
    private Long expiration;

    /**
     * 根据负责生成JWT的token
     */
    private String generateToken(Map<String, Object> claims) {
        return Jwts.builder()
                .setClaims(claims)
                .setExpiration(generateExpirationDate())
                .signWith(SignatureAlgorithm.HS512, secret)
                .compact();
    }

    /**
     * 从token中获取JWT中的负载
     */
    private Claims getClaimsFromToken(String token) {
        Claims claims = null;
        try {
            claims = Jwts.parser()
                    .setSigningKey(secret)
                    .parseClaimsJws(token)
                    .getBody();
        } catch (Exception e) {
            LOGGER.info("JWT格式验证失败:{}", token, e);
        }
        return claims;
    }

    /**
     * 生成token的过期时间
     */
    private Date generateExpirationDate() {
        return new Date(System.currentTimeMillis() + expiration * 1000);
    }

    /**
     * 从token中获取登录用户名
     */
    public String getUserNameFromToken(String token) {
        String username;
        try {
            Claims claims = getClaimsFromToken(token);
            username =  claims.getSubject();
        } catch (Exception e) {
            username = null;
        }
        return username;
    }

    /**
     * 验证token是否还有效
     *
     * @param token       客户端传入的token
     * @param userDetails 从数据库中查询出来的用户信息
     */
    public boolean validateToken(String token, UserDetails userDetails) {
        String username = getUserNameFromToken(token);
        return username.equals(userDetails.getUsername()) && !isTokenExpired(token);
    }

    /**
     * 判断token是否已经失效
     */
    private boolean isTokenExpired(String token) {
        Date expiredDate = getExpiredDateFromToken(token);
        return expiredDate.before(new Date());
    }

    /**
     * 从token中获取过期时间
     */
    private Date getExpiredDateFromToken(String token) {
        Claims claims = getClaimsFromToken(token);
        return claims.getExpiration();
    }

    /**
     * 根据用户信息生成token
     */
    public String generateToken(UserDetails userDetails) {
        Map<String, Object> claims = new HashMap<>();
        claims.put(CLAIM_KEY_USERNAME, userDetails.getUsername());
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }

    /**
     * 判断token是否可以被刷新
     */
    public boolean canRefresh(String token) {
        return !isTokenExpired(token);
    }

    /**
     * 刷新token
     */
    public String refreshToken(String token) {
        Claims claims = getClaimsFromToken(token);
        claims.put(CLAIM_KEY_CREATED, new Date());
        return generateToken(claims);
    }
}

C18298182575
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring Security 认证失败,用户名和密码是正确的还是失败
y15201653575的博客
05-22 1123
第二种,查看源代码,这句是关键,presentedPassword是明文密码,userDetails.getPassword()是加密后的密码,进行比较。看下这里,一般是前端传后端后进行加密了,导致这里匹配是false,!false 成true 进行了。项目用登录输入正确的用户名和密码为什么还是告知,用户名和密码是不正确?第一种是不是开启缓存,数据库中存储的是加密后的密码。
第四阶段15-关于权限,处理解析JWT时的异常,跨域请求,关于Spring Security认证流程
aiheshuicxy的博客
03-02 621
第四阶段15-关于权限,处理解析JWT时的异常,跨域请求,关于Spring Security认证流程
SpringBoot学习笔记【三】整合 Security + JWT + 异常处理
一颗贪婪的星
08-06 1万+
目录 一、添加依赖 二、配置 (一)JWT (二)Security (三)异常处理 三、总结 一、添加依赖 Spring Security是后台开发中经常使用的身份认证和访问权限控制框架,集成起来十分简单,对Restful接口的支持也比较完备,至于更多的介绍,可以参考Spring Security 参考手册,在pom.xml中添加依赖如下: &lt;dependency&gt...
SpringSecurity整合JWT时遇见的异常以及处理方式
weixin_44374025的博客
08-09 5482
JWT异常
系统登录失败(鉴权认证超时、断路器异常、连接无法建立):
dych1693的博客
03-10 2996
1、web容器层报错信息: 2、gateway报错: 解决办法: 1、 web容器层: 2、 gateway:
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
详解用JWTSpringCloud进行认证鉴权
08-26
"详解用JWTSpringCloud进行认证鉴权" 本文主要介绍了使用JSON WEB TOKEN(JWT)对SpringCloud进行认证鉴权的详细过程。JWT是一种基于RFC 7519标准定义的可以安全传输的小巧和自包含的JSON对象。由于数据是...
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现 作为一名IT行业大师,我将对SpringSecurity+JWT认证流程实现进行详细的解释,并生成相关知识点。 一、SpringSecurity的工作流程 SpringSecurity的工作流程是基于标准servlet过滤...
Spring security+jwt服务鉴权完整代码.zip
09-09
Spring Security 是一个强大的...这个项目应该包含了一个运行的示例,展示了如何将Spring SecurityJWT集成,实现服务鉴权访问。开发者可以通过研究源代码,了解具体的实现细节,学习如何在自己的项目中应用这些技术。
SpringBoot集成SpringSecurityJWT做登陆鉴权的实现
08-19
主要介绍了SpringBoot集成SpringSecurityJWT做登陆鉴权的实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
springBoot+springSecurity实现登录认证(不包含授权)
qq_28047315的博客
03-23 596
该例中用户信息从内存中加载,并且选择不加密的密码编码器。 引入依赖(默认springBoot依赖已存在) compile 'org.springframework.boot:spring-boot-starter-security' 创建配置类继承WebSecurityConfigurerAdapter @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { //定义内存用户信
厉害,我带的实习生仅用四步就整合好SpringSecurity+JWT实现登录认证
热门推荐
沉默王二
04-07 2万+
小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么锅都想甩给他,啊,不,一不小心怎么把心里话全说出来了呢?重来! 小二是新来的实习生,作为技术 leader,我还是很负责任的,有什么好事都想着他,这不,我就安排了一个整合SpringSecurity+JWT实现登录认证的小任务交,没想到,他仅用四步就搞定了,这让我感觉倍有面。 一、关于 SpringSecuritySpring Boot 出现之前,SpringSecurity 的使用场景是被另外一个安全管理框架 Shiro 牢牢霸占
JWT Token验证Authorization 失败原因记录
weixin_42157982的博客
12-21 1万+
项目环境:djangorestframework + apache + mod_wsgi 主要使用token进行身份验证 # rest_framework 配置 REST_FRAMEWORK = { # JWT Token认证 'DEFAULT_AUTHENTICATION_CLASSES': ( # drf的这一阶段主要是做验证,middleware的auth...
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1166
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
微服务-权限认证-Security-jwt实战
重点在于记录
12-03 572
学习思路 认证流程 基于Spring-Security原理讲解 用户名密码模式具体代码实现 根据用户名密码模式思考短信验证码模式 一、认证流程 用户登录、认证流程 用户输入用户名密码请求后台服务 后台验证用户名密码是否正确 正确返回token,错误抛出异常 用户拿到token请求非白名单服务 如果token正常访问成功,如果token异常访问失败 题外话:有没有刚刚入门写dem...
token系列2—解析(解码)及实际应用
yzw3270978316的博客
03-31 3906
Jwt系列2-解析及应用
jwt+token验证
qq_51127361的博客
09-19 1843
导入依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId
整合SpringSecurityJWT实现登录认证和授权
Java升级之路的博客
09-07 4280
文章目录前言一、SpringSecurity是什么?二、JWT是什么?1. JWT的组成2. JWT实现认证和授权的原理三、整合步骤1. 引入相关依赖2. yml配置中加入jwt配置信息3. 添加JWT token的工具类4. 添加SpringSecurity的配置类5. 添加自定义结果处理类5.1 添加CustomAccessDeniedHandler5.2 添加CustomAuthenticationEntryPoint6. 添加JwtUser类7. 添加过滤器JwtAuthenticationTok
前后端分离中springsecurity怎么认证鉴权
最新发布
10-08
在前后端分离的架构中,Spring Security用于认证鉴权。下面是Spring Security在前后端分离中的认证鉴权流程: 1. 用户登录时,前端发送登录请求到后端,后端验证用户的用户名和密码是否正确。 2. 后端通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值