Spring Boot 实战之Filter实现简单的Http Basic认证

最新推荐文章于 2024-06-28 14:43:38 发布
最新推荐文章于 2024-06-28 14:43:38 发布
阅读量533 收藏 1
点赞数
分类专栏: spring boot network protocol
原文链接:https://blog.csdn.net/sun_t89/article/details/51916834#
版权

Spring Boot实战之Filter

本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单的Http Basic认证

1、Filter功能

filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链).
一个Filter包括:
1)、在servlet被调用之前截获;
2)、在servlet被调用之前检查servlet request;
3)、根据需要修改request头和request数据;
4)、根据需要修改response头和response数据;
5)、在servlet被调用之后截获.

2、定义自己的过滤器

新增HTTPBasicAuthorizeAttribute.java

如果请求的Header中存在Authorization: Basic 头信息,且用户名密码正确,则继续原来的请求,否则返回没有权限的错误信息

package com.xiaofangtech.sunt.filter;
 
import java.io.IOException;
 
import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
 
import com.fasterxml.jackson.databind.ObjectMapper;
import com.xiaofangtech.sunt.utils.ResultMsg;
import com.xiaofangtech.sunt.utils.ResultStatusCode;
import sun.misc.BASE64Decoder;
 
@SuppressWarnings("restriction")
public class HTTPBasicAuthorizeAttribute implements Filter{
	
	private static String Name = "test";
	private static String Password = "test";
 
	@Override
	public void destroy() {
		// TODO Auto-generated method stub
		
	}
 
	@Override
	public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
			throws IOException, ServletException {
		// TODO Auto-generated method stub
		
		ResultStatusCode resultStatusCode = checkHTTPBasicAuthorize(request);
		if (resultStatusCode != ResultStatusCode.OK)
		{
			HttpServletResponse httpResponse = (HttpServletResponse) response;
			httpResponse.setCharacterEncoding("UTF-8");  
			httpResponse.setContentType("application/json; charset=utf-8"); 
			httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
 
			ObjectMapper mapper = new ObjectMapper();
			
			ResultMsg resultMsg = new ResultMsg(ResultStatusCode.PERMISSION_DENIED.getErrcode(), ResultStatusCode.PERMISSION_DENIED.getErrmsg(), null);
			httpResponse.getWriter().write(mapper.writeValueAsString(resultMsg));
			return;
		}
		else
		{
			chain.doFilter(request, response);
		}
	}
 
	@Override
	public void init(FilterConfig arg0) throws ServletException {
		// TODO Auto-generated method stub
		
	}
	
	private ResultStatusCode checkHTTPBasicAuthorize(ServletRequest request)
	{
		try
		{
			HttpServletRequest httpRequest = (HttpServletRequest)request;
			String auth = httpRequest.getHeader("Authorization");
			if ((auth != null) && (auth.length() > 6))
			{
				String HeadStr = auth.substring(0, 5).toLowerCase();
				if (HeadStr.compareTo("basic") == 0)
				{
					auth = auth.substring(6, auth.length());  
		            String decodedAuth = getFromBASE64(auth);
		            if (decodedAuth != null)
		            {
		            	String[] UserArray = decodedAuth.split(":");
		            	
		            	if (UserArray != null && UserArray.length == 2)
		            	{
		            		if (UserArray[0].compareTo(Name) == 0
			            			&& UserArray[1].compareTo(Password) == 0)
		            		{
		            			return ResultStatusCode.OK;
		            		}
		            	}
		            }
				}
			}
			return ResultStatusCode.PERMISSION_DENIED;
		}
		catch(Exception ex)
		{
			return ResultStatusCode.PERMISSION_DENIED;
		}
		
	}
	
	private String getFromBASE64(String s) {  
        if (s == null)  
            return null;  
        BASE64Decoder decoder = new BASE64Decoder();  
        try {  
            byte[] b = decoder.decodeBuffer(s);  
            return new String(b);  
        } catch (Exception e) {  
            return null;  
        }  
    }
 
}

3、在SpringRestApplication类中注册过滤器,给user/*都加上http basic认证过滤器

package com.xiaofangtech.sunt;
 
import java.util.ArrayList;
import java.util.List;
 
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.context.embedded.FilterRegistrationBean;
import org.springframework.context.annotation.Bean;
 
import com.xiaofangtech.sunt.filter.HTTPBasicAuthorizeAttribute;
 
@SpringBootApplication
public class SpringRestApplication {
 
	public static void main(String[] args) {
		SpringApplication.run(SpringRestApplication.class, args);
	}
	
	@Bean
    public FilterRegistrationBean  filterRegistrationBean() {
		FilterRegistrationBean registrationBean = new FilterRegistrationBean();
		HTTPBasicAuthorizeAttribute httpBasicFilter = new HTTPBasicAuthorizeAttribute();
		registrationBean.setFilter(httpBasicFilter);
		List<String> urlPatterns = new ArrayList<String>();
	    urlPatterns.add("/user/*");
	    registrationBean.setUrlPatterns(urlPatterns);
	    return registrationBean;
    }
}

4、测试

代码中固定用户名密码都为test,所以对接口进行请求时,需要添加以下认证头信息

Authorization: Basic dGVzdDp0ZXN0

dGVzdDp0ZXN0 为 test:test 经过base64编码后的结果

如果未添加认证信息或者认证信息错误,返回没有权限的错误信息

当认证信息正确,返回请求结果

Dongguabai
关注
专栏目录
Spring Boot OAuth2 认证服务器搭建及授权码认证演示
oscar999的专栏
07-26 971
本篇基于JDK8 搭建Spring Boot 的OAuth 2的认证服务器, 并完全显示授权码认证模式的完整过程
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
spring-boot-basic-auth:使用基本身份验证的安全Spring Boot REST API
02-04
弹簧启动基本认证 使用基本身份验证来保护Spring Boot REST API
Spring Boot - 开启 HttpBasic 认证方式
qq_29761395的博客
01-03 5371
文章目录思路实践环境新建项目测试参考 思路 想要开启 HttpBasic 认证方式,服务器需要设置响应头 WWW-Authenticate: Basic realm="Realm"。当客户端(浏览器)访问指定的 URL,就会触发 HttpBasic 认证方式: 当用户在 Sign in 对话框中输入用户名和密码,点击 Sign in 按钮之后,浏览器使用 Base64 对用户名和密码进行编码,然后将其放在 Authorization 请求头中发送给服务器: 注意:因为浏览器使用 Base64 对用户名和
使用SpringBoot整合filter
最新发布
只恨天高的博客
06-28 278
另一种玩儿法,和Servlet一样也是做一个方法,来替代上面的两个注解的作用:
springboot集成spring-security实现httpbasic
weixin_44281922的博客
06-27 756
httpbasicspring security,spring boot
httpbasic 认证方式
wang0907的博客
04-28 3975
basic auth是一种http协议规范中的一种认证方式,即一种证明你就是你的方式。更进一步的它是一种规范,这种规范是这样子,如果是服务端使用了basic auth认证方式来处理用户请求的话,会从header中获取的头信息,如果是没有该头信息或者是头信息不正确,则会返回401状态码,并添加响应头。如果是浏览器收到了服务端的401响应,并且判断有www-authenticate头信息的话则会弹出自带的用户名密码录入框让用户录入信息,用户录入后浏览器会对录入的信息按照格式。
Spring Boot实战Filter实现简单Http Basic认证
威尼斯的泪
01-22 2147
Spring Boot实战Filter 本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单Http Basic认证 1、Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是
Spring Boot Actuator、Spring security、http basic authority整合
蒙眼狂奔
07-30 1187
接口安全状态管理,spring boot actuator
Springboot +spring security,认证方式---HTTP基本认证实现
weixin_40991408的博客
05-28 848
Springboot +spring security,认证方式---HTTP基本认证实现
Spring Security 实战内容:Spring Boot 中的 Spring Security 自动配置初探
V539413949的博客
04-09 496
1. 前言 我们发现 Spring Security Starter相关的 Servlet 自动配置都在spring-boot-autoconfigure-2.1.9.RELEASE(当前 Spring Boot 版本为2.1.9.RELEASE) 模块的路径org.springframework.boot.autoconfigure.security.servlet 之下。其实官方提供的Starter组件的自动配置你都能在spring-boot-autoconfigure-2.1.9.RELEASE下找.
springbootspringSecurity 之 http Basic认证 (四)
哎幽的成长
02-24 2万+
引言:HTTP基础认证(BA)是一种简单认证机制。当一个web客户端需要保护任何web资源的时候,服务器会发送一个带有401状态码(未授权)的HTTP回应,还有类似WWW-Authenticate: Basic realm=”realm here” 的 WWW-Authenticate HTTP头。而浏览器这时候就会弹出一个登录对话框,提示输入用户名和密码。1. 修改配置在spring boot
Spring Boot实现访问接口的Basic认证
oscar999的专栏
02-08 1323
Spring Boot项目中使用Spring Security可以实现对某些接口实现Basic 认证, 需要使用用户名和密码登录之后才能访问接口。
Spring Http Basic(基本)和Digest(摘要)验证
MrCharles在CSDN
01-07 2934
Basic(基本)和Digest(摘要)验证都是web应用中很受欢迎的可选机制。 Basic验证一般用来处理无状态的客户端,它们在每次请求都附带它们的证书。 很常见的用法是把它和基于表单的验证一起使用,这里的应用会同时使用基于浏览器的用户接口和web服务。 然而,basic验证使用原文传送密码,所以应该只通过加密的传输途径发送,比如HTTPS。 9.1. BasicAuthentic
Spring Boot 中如何实现 HTTP 认证
江南一点雨的专栏
06-16 3771
HttpBasic 认证有一定的局限性与安全隐患,因此在实际项目中使用并不多,但是,有的时候为了测试方便,开启 HttpBasic 认证能方便很多。 因此松哥今天还是来和大家简单聊一聊 Spring Security 中的 HttpBasic 认证。 本文是 Spring Security 系列第 29 篇,阅读前面文章有助于更好理解本文: 挖一个大坑,Spring Security 开搞! 松哥手把手带你入门 Spring Security,别再问密码怎么解密了 手把手教你定制 Spring Secur
spring-authorization-server令牌放发源码解析
冷冷的博客
06-12 1226
Token 生成全流程 POST /auth/oauth2/token?grant_type=password&scope=server HTTP/1.1 Host: pig-gateway:9999 Authorization: Basic dGVzdDp0ZXN0 Content-Type: application/x-www-form-urlencoded Content-Length: 32 username=admin&password=YehdBPev ⓪ 网关前置处理 验证
Http认证Basic认证
零度的博客专栏
05-11 5471
文章主要讲如何在tomcat中配置Basic认证以及工作流程: Tomcat配置: 1 在tomcat的webapps下新建一个目录authen,再建立子目录subdir,下面放一个index.jsp 2 在authen目录下建立WEB-INF目录,下放web.xml文件,内容如下 Xml代码   security-constraint>      w
SpringSecurity教程】认证 1.Basic认证
terrybg
06-10 1万+
Basic 认证是在请求接口之前要输入账号密码,是简单Http验证模式。本章主要描述:SpringBoot如何整合Basic认证、后端Okhttp和前端Vue Axios如何请求Basic认证的接口。pom.xml 启动类 控制层 Basic基本验证配置类。 测试 浏览器访问:http://localhost:8080/test输入用户名:terry,密码:terry123,即可访问接口。以Okhttp为例默认情况下请求会报错401无权限,如下: OkHttpTest整合Basic如下: 打印如下:...
SpringBoot 使用 Http Basic 请求
嗯嗯嗯的博客
12-16 714
Spring Security 使用 Http Basic 认证请求 引用 Spring Security 依赖,继承 WebSecurityConfigurerAdapter 类 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity httpSecurity) throws Exc
提供一个 Spring Gateway 集成 Spring Security 的范例
08-05
当然可以!下面是一个简单的示例,演示如何在Spring Gateway中集成Spring Security: 首先,您需要在项目的pom.xml文件中添加以下依赖项: ```xml<dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-gateway</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> ``` 然后,创建一个Spring Security配置类,用于配置安全规则和认证管理器。这是一个示例配置类: ```java@Configuration@EnableWebFluxSecuritypublic class SecurityConfig { @Bean public SecurityWebFilterChain securityWebFilterChain(ServerHttpSecurity http) { return http .authorizeExchange() .pathMatchers("/api/public/**").permitAll() .anyExchange().authenticated() .and() .httpBasic() .and() .build(); } @Bean public ReactiveAuthenticationManager authenticationManager() { UserDetails user = User.withDefaultPasswordEncoder() .username("admin") .password("password") .roles("ADMIN") .build(); return new UserDetailsRepositoryReactiveAuthenticationManager(new MapReactiveUserDetailsService(user)); } } ``` 在这个配置中,我们定义了一个规则,允许访问`/api/public/**`的路径,其他路径需要进行身份验证。`UserDetailsRepositoryReactiveAuthenticationManager`用于验证用户凭据,并使用基于内存的用户存储。 接下来,创建一个Spring Gateway配置类,用于配置路由规则和过滤器。这是一个示例配置类: ```java@Configurationpublic class GatewayConfig { @Bean public RouteLocator customRouteLocator(RouteLocatorBuilder builder) { return builder.routes() .route("api_route", r -> r.path("/api/**") .filters(f -> f.filter(new AuthFilter())) .uri("http://your-backend-service")) .build(); } } ``` 在这个配置中,我们定义了一个路由规则,将以`/api/**`开头的请求转发到后端服务。我们还添加了一个名为`AuthFilter`的过滤器,用于在请求被转发之前进行身份验证。 最后,创建一个自定义过滤器类来执行身份验证逻辑。这是一个示例过滤器类: ```javapublic class AuthFilter implements GatewayFilter, Ordered { private static final String AUTHORIZATION_HEADER = "Authorization"; private static final String BEARER_PREFIX = "Bearer "; @Override public Mono<Void> filter(ServerWebExchange exchange, GatewayFilterChain chain) { String token = extractTokenFromRequest(exchange.getRequest()); if (token != null && isValidToken(token)) { // 身份验证通过,继续处理请求 return chain.filter(exchange); } else { // 身份验证失败,返回未授权的响应 exchange.getResponse().setStatusCode(HttpStatus.UNAUTHORIZED); return exchange.getResponse().setComplete(); } } private String extractTokenFromRequest(ServerHttpRequest request) { List<String> headers = request.getHeaders().get(AUTHORIZATION_HEADER); if (headers != null && !headers.isEmpty()) { String headerValue = headers.get(0); if (headerValue.startsWith(BEARER_PREFIX)) { return headerValue.substring(BEARER_PREFIX.length()); } } return null; } private boolean isValidToken(String token) { // 在此处验证token的有效性,可以根据实际需求进行实现 // 返回true表示token有效,返回false表示token无效 return true; } @Override public int getOrder() { return Ordered.HIGHEST_PRECEDENCE; } } ``` 在这个过滤器中,我们从请求中提取出Authorization头部中的Bearer令牌,并验证其有效性。根据实际需求,您可以自定义身份验证逻辑。 以上就是一个简单Spring Gateway集成Spring Security的示例。您可以根据自己的需求进行进一步的定制和扩展。希望对您有所帮助!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值