使用自定义的token认证过滤器替换security的认证功能

已于 2023-12-21 13:51:02 修改
阅读量414 收藏 9
点赞数 6
文章标签: java security 自定义token认证过滤器
于 2023-12-21 11:00:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cominglately/article/details/135125506
版权

文章目录

场景

spring-boot-starter-security不够灵活, 项目需要二次开发。下面展示一个替换security认证功能的替代方案。

实现

  1. 项目实现生成accessToken以及checkAccessToken的功能
  2. 创建一个token过滤器,该过滤器有3部分组成:
    2.1 校验token是否有效
    2.2 根据token生成用户实体 生成Authentication
    2.3 SecurityContextHolder.getContext().setAuthentication(authentication); 将给定的 Authentication 对象设置为当前线程的安全上下文中,表示当前用户已经通过身份验证
  3. 将token认证过滤器加入到UsernamePasswordAuthenticationFilter过滤器之前

认证过滤器具体实现

@RequiredArgsConstructor
public class TokenAuthenticationFilter extends OncePerRequestFilter {

    private final SecurityProperties securityProperties;

    private final GlobalExceptionHandler globalExceptionHandler;

    private final OAuth2TokenApi oAuth2TokenApi;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        String token = SecurityFrameworkUtils.obtainAuthorization(request, securityProperties.getTokenHeader());

        if (StrUtil.isNotBlank(token)) {
            Integer userType = SecurityFrameworkUtils.getLoginUserType(request);

            try {
                // 基于token构建登录用户
                LoginUser loginUser = buildLoginUserByToken(token, userType);

                // 设置当前用户
                if (loginUser != null) {
                    SecurityFrameworkUtils.setLoginUser(loginUser, request);
                }

            } catch (Throwable e) {
                CommonResult<?> result = globalExceptionHandler.allExceptionHandler(request, e);
                ServletUtils.writeJSON(response, result);
                return;
            }
        }

        filterChain.doFilter(request, response);
    }

    /**
     * 根据token构建用户
     */
    private LoginUser buildLoginUserByToken(String token, Integer userType) {
        //  校验token
        OAuth2AccessTokenCheckRespDTO tokenCheckRespDTO = oAuth2TokenApi.checkAccessToken(token);

        if (tokenCheckRespDTO == null) {
            return null;
        }

        // 校验用户类型
        if (ObjectUtil.notEqual(tokenCheckRespDTO.getUserType(), userType)) {
            throw new AccessDeniedException("用户类型错误");
        }

        //  构建登录用户
        return LoginUser.builder()
                .userType(userType)
                .id(tokenCheckRespDTO.getUserId())
                .tenantId(tokenCheckRespDTO.getTenantId())
                .scopes(tokenCheckRespDTO.getScopes())
                .build();
    }
}

public class SecurityFrameworkUtils {

    public final static String AUTHORIZATION_BEARER = "Bearer";
    private static final String REQUEST_ATTRIBUTE_LOGIN_USER_TYPE = "login_user_type";


    private SecurityFrameworkUtils() {
    }

    /**
     * 从header中提取token
     */
    public static String obtainAuthorization(HttpServletRequest request, String header) {
        String authorization = request.getHeader(header);
        if (StrUtil.isEmpty(authorization)) {
            return null;
        }

        if (!StrUtil.startWith(authorization, AUTHORIZATION_BEARER + " ")) {
            return null;
        }

        return authorization.substring(AUTHORIZATION_BEARER.length() + 1).trim();
    }

    /**
     * 获取当前用户类型
     */
    public static Integer getLoginUserType(HttpServletRequest request) {
        if (request == null) {
            return null;
        }

        Integer userType = (Integer) request.getAttribute(REQUEST_ATTRIBUTE_LOGIN_USER_TYPE);
        if (userType != null) {
            return userType;
        }

        return UserTypeEnum.ADMIN.getValue();
    }

    /**
     * 设置用户
     */
    public static void setLoginUser(LoginUser loginUser, HttpServletRequest request) {
        // 创建 Authentication,并设置到上下文
        /**
         * SecurityContextHolder.getContext().setAuthentication(authentication) 是 Spring Security 中用于设置当前用户认证信息的方法。
         * 它的作用是将给定的 Authentication 对象设置为当前线程的安全上下文中,表示当前用户已经通过身份验证。
         * */
        Authentication authentication = buildAuthentication(loginUser,request);
        SecurityContextHolder.getContext().setAuthentication(authentication);

    }

    /**
     * 构建Authentication
     * */
    private static Authentication buildAuthentication(LoginUser loginUser, HttpServletRequest request) {
        /**
         * 创建 UsernamePasswordAuthenticationToken 对象
         * public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
         *         Collection<? extends GrantedAuthority> authorities);
         * principal: 表示身份验证的主体,通常是用户名或用户实体。
         * credentials: 表示凭证,通常是密码或其他用于验证身份的凭据。
         * authorities: 表示用户的权限集合,通常是一组 GrantedAuthority 对象。
         * 举个例子
         * // 定义用户信息
         * String username = "user";
         * String password = "password";
         *
         * // 定义用户权限
         * Collection<? extends GrantedAuthority> authorities = Collections.singletonList(new SimpleGrantedAuthority("ROLE_USER"));
         *
         * // 创建 UsernamePasswordAuthenticationToken 实例
         * UsernamePasswordAuthenticationToken authenticationToken =
         *         new UsernamePasswordAuthenticationToken(username, password, authorities);
         * */
        UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(loginUser, null, Collections.emptyList());
        // 建WebAuthenticationDetails对象并将其设置到Authentication对象中
        authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));

        return authentication;
    }
}
详细说说替换security认证功能的实现
  1. SecurityContextHolder.getContext().setAuthentication(authentication); 是 Spring Security 中用于设置当前用户认证信息的方法。它的作用是将给定的 Authentication 对象设置为当前线程的安全上下文中,表示当前用户已经通过身份验证
  2. Authentication应该怎么生成呢? 生成一个UsernamePasswordAuthenticationToken 实例就行, public UsernamePasswordAuthenticationToken(Object principal, Object credentials,Collection<? extends GrantedAuthority> authorities);
    2.1 principal: 表示身份验证的主体,通常是用户名或用户实体。
    2.2 credentials: 表示凭证,通常是密码或其他用于验证身份的凭据。
    2.3 authorities: 表示用户的权限集合,通常是一组 GrantedAuthority 对象。下面举个简单的例子
     String username = "user";
      String password = "password";

    // 定义用户权限
      Collection<? extends GrantedAuthority> authorities = Collections.singletonList(new SimpleGrantedAuthority("ROLE_USER"));

       // 创建 UsernamePasswordAuthenticationToken 实例
       UsernamePasswordAuthenticationToken authenticationToken =
       new UsernamePasswordAuthenticationToken(username, password, authorities);

认证过滤器放到Spring Security UsernamePasswordAuthenticationFilter过滤器之前

/**
 * @version V1.0
 * @author: carsonlius
 * @date: 2023/12/20 15:38
 * @company
 * @description 自定义的 Spring Security 配置适配器实现
 */
@AutoConfiguration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class DemoWebSecurityConfigurerAdapter {

    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    @Autowired
    private AccessDeniedHandler accessDeniedHandler;

    @Resource
    private TokenAuthenticationFilter tokenAuthenticationFilter;

    /**
     * 由于 Spring Security 创建 AuthenticationManager 对象时,没声明 @Bean 注解,导致无法被注入
     * 通过覆写父类的该方法,添加 @Bean 注解,解决该问题
     */
    @Bean
    public AuthenticationManager authenticationManagerBean(AuthenticationConfiguration authentication) throws Exception {
        return authentication.getAuthenticationManager();
    }

    /**
     * 配置 URL 的安全配置
     * <p>
     * anyRequest          |   匹配所有请求路径
     * access              |   SpringEl表达式结果为true时可以访问
     * anonymous           |   匿名可以访问
     * denyAll             |   用户不能访问
     * fullyAuthenticated  |   用户完全认证可以访问(非remember-me下自动登录)
     * hasAnyAuthority     |   如果有参数,参数表示权限,则其中任何一个权限可以访问
     * hasAnyRole          |   如果有参数,参数表示角色,则其中任何一个角色可以访问
     * hasAuthority        |   如果有参数,参数表示权限,则其权限可以访问
     * hasIpAddress        |   如果有参数,参数表示IP地址,如果用户IP和参数匹配,则可以访问
     * hasRole             |   如果有参数,参数表示角色,则其角色可以访问
     * permitAll           |   用户可以任意访问
     * rememberMe          |   允许通过remember-me登录的用户访问
     * authenticated       |   用户登录后可访问
     */
    @Bean
    protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception {
        // 登出
        httpSecurity.cors().and() // 开启跨域
                .csrf().disable() // csrf禁用,因为不使用session
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // STATELESS(无状态): 表示应用程序是无状态的,不会创建会话。这意味着每个请求都是独立的,不依赖于之前的请求。适用于 RESTful 风格的应用。
                .and().headers().frameOptions().disable()
                .and().exceptionHandling().authenticationEntryPoint(authenticationEntryPoint) // 身份未认证时响应
                .accessDeniedHandler(accessDeniedHandler); // 身份已经认证(登录),但是没有权限的情况的响应


        // 设置具体请求的权限
        httpSecurity.authorizeRequests()
                .antMatchers(HttpMethod.GET, "/*.html", "/**/*.html", "/**/*.css", "/**/*.js").permitAll() // 静态资源无需认证
                .antMatchers("/websocket/message").permitAll() // websocket无需认证
                .antMatchers("/system/auth/login").permitAll()
                .and().authorizeRequests().anyRequest().authenticated(); // 其他请求必须认证

        httpSecurity.addFilterBefore(tokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

        return httpSecurity.build();
    }

}
cominglately
关注
  • 6
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ixortalk.aws.cognito.jwt.security.filter:用于解码Cognito JWT IdToken的Spring Boot安全过滤器
01-30
介绍 这个Spring Boot自动配置模块提供了一个安全过滤器,能够 解码AWS Cognito JWT idToken 验证JWT令牌签名 验证JWT令牌发行者 使用JWT令牌中包含的用户名创建主体对象 将关联的认知组转换为SimpleGrantedAuthorities 该模块旨在弥合Cognito身份和Spring Boot安全主体之间的鸿沟。 用法 Maven依赖 该模块可通过Maven Central提供,当前版本为0.0.6。 可以像这样将其添加到基于Maven的项目中: <dependency> <groupId>com.ixortalk</groupId> <artifactId>ixortalk.aws.cognito.jwt.security.filter</artifactId> <version>0.0.7</version> </dependency> 或使用Gradle时: compile 'com.ixortalk:ixortalk.aws.cognito.jwt.security.filter:0.0.7' 安全配置类
Spring Security (一):自定义认证
weixin_55136824的博客
07-28 478
Spring Security 是一个提供身份验证授权和针对常见攻击的保护的框架,spring security 在程序启动时,向spring中注入一个默认的filterChian,按照顺序,依次执行filter,对用户信息进行认证,授权。官网链接: Spring Security :: Spring SecurityCorsFilterCsrfFilterOpenIDSiteMinder其中,默认的认证过滤器为 UsernamePasswordAuthenticationFilter。
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
【权限----SpringSecurity】六、自定义认证处理的过滤器
Sunny
07-04 1610
【Spring Security】六、自定义认证处理的过滤器 这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter,通过查看源码知道,做认证处理的方法为attemptAuthenticat...
SpringSecurity - 整合JWT使用 Token 认证授权
小毕超博客
01-09 6617
一、SpringSecurity 前面讲解了SpringSecurity的动态认证和动态权限角色,我们都知道在现在大多都是微服务前后端分离的模式开发,前面讲的还是基于Session的,本篇我们整合JWT实现使用Token认证授权。 上篇文章地址:https://blog.csdn.net/qq_43692950/article/details/122394611 在开始前需要了解JWT,如果不了解,可以先看下下面这篇我的博客: https://blog.csdn.net/qq_43692950/art
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1121
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 281
这个过滤器的作用是在请求到达时验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
Spring Security——基于前后端分离项目的使用(安全框架)
测试
10-08 877
安全框架。
Security 自定义 UsernamePasswordAuthenticationFilter 替换原拦截器
Soutv - Hello Bug !
12-04 9351
背景: 默认的 UsernamePasswordAuthenticationFilter过滤器通过 from 表单 post 请求形式获取用户名密码参数,并且请求头为 application/x-www-form-urlencoded, 并通过 ==request.getParameter(this.usernameParameter)==获取用户名密码 参考源码 : @Override public Authentication attemptAuthentication(HttpServletRequ
设置Security中的token认证过滤器
qq_42218565的博客
07-15 1183
在实现MvcSecurityConfiguration的类configure(HttpSecurity http)方法中添加如下内容: http.exceptionHandling() .authenticationEntryPoint(new UnauthorizedEntryPoint()) .and() .csrf().disable() .logout()
SpringSecurity之JWT实现token认证和授权.zip
08-09
在Web应用开发中,安全一直是非常重要的一个方面。Spring Security基于Spring 框架,提供了一套Web应用安全性的完整解决方案。
Token认证技术
08-28
c#在WebAPI中使用Token认证的方式登录,增强保密。
详解Node.js使用token进行认证的简单示例
10-15
主要介绍了详解Node.js使用token进行认证的简单示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Laravel5.4简单实现app接口Api Token认证方法
01-02
在web项目中,实现认证比较轻松,那么前后端分离的项目中,我们要怎么实现认证,今天这篇文章就以 API token 认证机制,使用Token可以解决laravel API的无状态认证。 一、给用户表users增加api_token字段 ...
Laravel实现ApiToken认证请求
10-16
今天小编就为大家分享一篇Laravel实现ApiToken认证请求,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
mybatisPlus使用MetaObjectHandler对字段进行更新
m0_56356631的博客
04-23 747
都是符合我们的预期的。
java方法重写(重点讲),方法重载
最新发布
weixin_46281068的博客
04-27 826
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
string模拟实现
m0_73969414的博客
04-23 1740
c++中string的模拟实现,面试必会知识点
实现自定义注解、实现自定义幂等性注解
qq_44721738的博客
04-23 1022
添加 Spring AOP 依赖。创建自定义注解。创建一个新的 Java 注解类,通过@interface关键字来定义,并可以添加元注解以及属性。@Target(ElementType.METHOD) //表示作用于方法上@Retention(RetentionPolicy.RUNTIME) // 表示这个注解在运行时是可见的,这样 AOP 代理才能在运行时读取到这个注解编写 AOP 拦截(自定义注解)的逻辑代码。@Aspect@Component// 方法执行前的处理。
同时使用自定义token和UsernamePasswordAuthenticationToken进行其他认证需求
09-07
然后,您可以创建一个自定义的 `AuthenticationProvider` 实现,用于处理您的自定义认证逻辑: ```java public class CustomAuthenticationProvider implements AuthenticationProvider { @Override public ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值