使用SpringSecurity为API接口添加鉴权token

当我们使用SpringBoot实现了一个简单的API接口之后,我们如何去保证我们的API接口只让我们运行的人调用呢。这时候就需要对我们的API接口进行保护。在别人访问这些接口的时候,我们对访问者进行身份的验证,从而对接口的保护。

基本流程如下图:

当然我们需要一个接口给用户请求Token,要不然用户拿不到token怎么去请求其他资源呢。流程图如下:

接下来我们按照流程一步一步实现。

首先实现请求token

    @GetMapping("/get_token")
    public JsonResult getToken(@RequestParam String username,@RequestParam String password){
        //apiUser通过用户url传入的账号和密码
        ApiUser apiUser=loginService.loginApiUser(username);
        //这里验证用户的信息是否正确
        JsonResult jsonResult=checkApiUser(apiUser,password);
        //如果正确那么返回Null,不正确返回提示然后显示给用户
        if (jsonResult!=null){
            return jsonResult;
        }
        //到这里证明用户信息是正确的,那么我们进行token的生成然后返回给用户
        String token=loginService.generateToken(apiUser);

        return JsonResult.suc(token);
    }
  1. 通过url拿到用户传过来的数据,账户和密码
  2. 对账户密码进行验证,如果不正确返回错误提示。
  3. 如果正确进行token生存,然后返回给用户

那么我们如何验证呢

  private JsonResult checkApiUser(ApiUser apiUser,String password){
        if (apiUser==null){
            return JsonResult.error(434,"账户不存在");
        }else {
            if (apiUser.getEnable()==0){
                return JsonResult.error(452,"账户在黑名单");
            }
            if (!apiUser.getPassword().equals(password)){
                //equals相等返回true
                return JsonResult.error(452,"账户密码错误");

            }

        }
        return null;
    }
  1. 先通过用户传入的用户名进行查找,看是否存在该用户。
  2. 如果存在该用户,判断用户的状态是否可用。
  3. 如果状态可用,那么比较数据库保存的密码和用户输入的密码是否匹配。

那么如何生成token呢

 public String generateToken(ApiUser tokenDetail) {
        Map<String, Object> claims = new HashMap<String, Object>();
        claims.put("sub", tokenDetail.getUsername());
        claims.put("created", this.generateCurrentDate());
        return this.generateToken(claims);
    }

    /**
     * 根据 claims 生成 Token
     *
     * @param claims
     * @return
     */
    private String generateToken(Map<String, Object> claims) {
        logger.info("成功进入生产token",claims);
        try {
            return Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(this.generateExpirationDate())
                    .signWith(SignatureAlgorithm.HS512, this.secret.getBytes("UTF-8"))
                    .compact();
        } catch (UnsupportedEncodingException ex) {
            //didn't want to have this method throw the exception, would rather log it and sign the token like it was before
            logger.warn(ex.getMessage());
            return Jwts.builder()
                    .setClaims(claims)
                    .setExpiration(this.generateExpirationDate())
                    .signWith(SignatureAlgorithm.HS512, this.secret)
                    .compact();
        }
    }
  1. 我们通过JWT工具去进行token的生成。(如果不了解JWT可用百度看看,非常简单。)
  2. 通过用户信息,我们生成一个token并返回给客户端。
  3. 用户拿着这个token去请求资源,就可以了。

接下来我们看用户请求资源是如何实现的

 @PostMapping("/courseList")
    public JsonResult getAllCourse(Page<Course> page, Integer state){
        //获取当前学年的课程列表

        return JsonResult.suc(courseService.getAll(page,state));
    }

这是一个资源API接口,那么用户在访问这个接口的时候我们就需要对身份进行验证,那么是在哪里验证的呢

@Configuration      // 声明为配置类
@EnableWebSecurity      // 启用 Spring Security web 安全的功能
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    /**
     * 注册 401 处理器
     */
    @Autowired
    private EntryPointUnauthorizedHandler unauthorizedHandler;

    /**
     * 注册 403 处理器
     */
    @Autowired
    private MyAccessDeniedHandler accessDeniedHandler;

    /**
     * 注册 token 转换拦截器为 bean
     * 如果客户端传来了 token ,那么通过拦截器解析 token 赋予用户权限
     *
     * @return
     * @throws Exception
     */
    @Bean
    public AuthenticationTokenFilter authenticationTokenFilterBean() throws Exception {
        AuthenticationTokenFilter authenticationTokenFilter = new AuthenticationTokenFilter();
        authenticationTokenFilter.setAuthenticationManager(authenticationManagerBean());
        return authenticationTokenFilter;
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/get_token").permitAll()     // 所有人可以访问
                .anyRequest().authenticated()       // 必须携带token
                .and()
                // 配置被拦截时的处理
                .exceptionHandling()
                .authenticationEntryPoint(this.unauthorizedHandler)   // 添加 token 无效或者没有携带 token 时的处理
                .accessDeniedHandler(this.accessDeniedHandler)      //添加无权限时的处理
                .and()
                .csrf()
                .disable()                      // 禁用 Spring Security 自带的跨域处理
                .sessionManagement()                        // 定制我们自己的 session 策略
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS); // 调整为让 Spring Security 不创建和使用 session


        /**
         * 本次 json web token 权限控制的核心配置部分
         * 在 Spring Security 开始判断本次会话是否有权限时的前一瞬间
         * 通过添加过滤器将 token 解析,将用户所有的权限写入本次会话
         */
        http
                .addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);
    }
}
  1. 首先我们通过SpringSecurity进行url配置,也就是给URL加了过滤器。
  2. 当用户访问需要token的资源路径的时候就会触发过滤器。
  3. http.addFilterBefore(authenticationTokenFilterBean(), UsernamePasswordAuthenticationFilter.class);这一句相当于把我们自定义的过滤器加入到Springsecurity过滤器链中。
 @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        // 将 ServletRequest 转换为 HttpServletRequest 才能拿到请求头中的 token
        HttpServletRequest httpRequest = (HttpServletRequest) request;
        // 尝试获取请求头的 token
        String authToken =httpRequest.getHeader(this.tokenHeader);//获取token=xxx

        // 尝试拿 token 中的 username
        // 若是没有 token 或者拿 username 时出现异常,那么 username 为 null
        String username = this.tokenUtils.getUsernameFromToken(authToken);

        // 如果上面解析 token 成功并且拿到了 username 并且本次会话的权限还未被写入
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
            // 用 UserDetailsService 从数据库中拿到用户的 UserDetails 类
            // UserDetails 类是 Spring Security 用于保存用户权限的实体类
            UserDetails userDetails = this.userDetailsService.loadUserByUsername(username);
            // 检查用户带来的 token 是否有效
            // 包括 token 和 userDetails 中用户名是否一样, token 是否过期, token 生成时间是否在最后一次密码修改时间之前
            // 若是检查通过
            if (this.tokenUtils.validateToken(authToken, userDetails)) {
                // 生成通过认证
                UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(httpRequest));
                // 将权限写入本次会话
                SecurityContextHolder.getContext().setAuthentication(authentication);
            }
            if (!userDetails.isEnabled()){
                response.setCharacterEncoding("UTF-8");
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().print("{\"code\":\"452\",\"data\":\"\",\"message\":\"账号处于黑名单\"}");
                return;
            }
        }

        chain.doFilter(request, response);
    }
  1. 在自定义过滤器中通过 String authToken =httpRequest.getHeader(this.tokenHeader);这一句代码我们获得了用户传入的token值。
  2. 通过对token值的解析我们可以获取到用户信息,这里的信息在是在生成token的时候我们加入到token中的。(获取到用户信息你可以对用户操作进行一些记录。)同时如果获取的用户信息不存在我们数据库中,那么证明该token不是正确的,不在进行后面的业务逻辑
  3. 用户信息正确,我们对token进行验证看token是否过期,或者用户是否已经被禁用了。
    this.tokenUtils.validateToken(authToken, userDetails)这一句进行验证

这样完整的鉴权流程我们就实现了。上面只是部分代码。

源码:https://github.com/xushuoAI/Springboot-SpringSecurity-Mybatis-Redis-

以上代码参考了许多博主的博文。非常感谢各位前辈的分享。

  • 1
    点赞
  • 0
    评论
  • 9
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

参与评论 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:大白 设计师:CSDN官方博客 返回首页

打赏作者

WiLL_XS

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值