Spring Security-6:登录使用 body JSON 传参

最新推荐文章于 2024-07-06 18:40:28 发布
最新推荐文章于 2024-07-06 18:40:28 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: Spring Security 文章标签: spring java spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_39436025/article/details/110425997
版权
本文介绍了在Spring Security中如何处理JSON格式的登录参数,包括自定义用户名密码认证过滤器、修改SecurityConfig配置、处理验证码读取以及实现登出功能。通过自定义过滤器读取请求body中的参数,解决了请求流只能读取一次的问题,并在登出时清除session id。
摘要由CSDN通过智能技术生成

更多内容欢迎访问我的个人 Java 站点:开坑组-Java站

前言

之前的5个篇章基本上能完成一个登录模块,这篇我们介绍下如何在 body 中使用 JSON 来传参调用登录接口,后续还会再补充下登出逻辑。

1. 添加工具类

工具类中添加用于从 HttpServletRequest 中获取参数的方法

package com.example.security.utils;

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.logging.log4j.util.Strings;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;

@Slf4j
public class CommonUtil {

    private static final String PARSED_BODY_KEY = "PARSED_BODY";

    /**
     * 获取请求中的所有参数
     */
    public static final Map<String, Object> getBodyParametersFromRequest(HttpServletRequest request) {
        Map<String, Object> map = null;

        if (request != null) {
            // 优先从 request attribute 中读取参数
            map = (Map<String, Object>) request.getAttribute(PARSED_BODY_KEY);

            // 若从 request attribute 没有读取到参数则从 request 中读取,这样做是因为 request 的流只能读取一次
            if (map == null) {
                map = readParamsFromRequest(request);
                // 读取完以后存入 request attribute
                request.setAttribute(PARSED_BODY_KEY, map);
            }
        }

        if (map == null) {
            map = new HashMap<>(0);
        }

        return map;
    }

    /**
     * 获取请求中的指定字符串参数
     */
    public static final String getStringBodyParameterFromRequest(HttpServletRequest request, String key) {
        String result = Strings.EMPTY;
        Map<String, Object> map = getBodyParametersFromRequest(request);

        if (map.get(key) != null) {
            result = map.get(key).toString();
        }

        return result;
    }

    /**
     * 从请求中读取参数,转为 Map
     */
    private static Map<String, Object> readParamsFromRequest(HttpServletRequest request) {
        Map<String, Object> map = null;

        try {
            // 从 request 中读取 Body 数据
            ServletInputStream inputStream = request.getInputStream();
            StringBuilder content = new StringBuilder();
            byte[] b = new byte[1024];
            int lens;
            while ((lens = inputStream.read(b)) > 0) {
                content.append(new String(b, 0, lens));
            }

            // 将字符串转换为 Map 集合
            ObjectMapper mapper = new ObjectMapper();
            map = mapper.readValue(content.toString(), Map.class);
        } catch (Exception ex) {
            log.error("Error occurred while read params from request");
        }

        return map;
    }
}

2. 添加自定义用户名密码认证过滤器

继承 UsernamePasswordAuthenticationFilter 类,并复写 attemptAuthentication 方法,主动读取 body 中的参数。

package com.example.security.filter;

import com.example.security.utils.CommonUtil;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servl
最低0.47元/天 解锁文章
老菜鸟zzzzz
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot集成SpringSecurity(六、登录失败响应Json
伍妖捌的小屋
05-16 548
前言 之前已经介绍了登录成功响应Json,那么登录失败响应Json跟之前一样的原理,下面进行实现实现 新建SignInFailureHandler @Component public class SignInFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServlet
Spring Security 使用 JSON 登录
那杯热咖啡
09-09 2976
首先创建 SpringBoot 工程,添加 SpringSecurity 依赖,如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </...
SpringSecurity6.x使用教程
最新发布
wsb_2526的博客
07-06 900
SpringSecurity目前支持的版本如下图所示,可以看到5.x的版本过几年就不会再维护了,6.x将成为主流。
关于使SpringSecurity登录参数使用requestBody后引发的一系列问题及解决
c_z_z的博客
06-12 1068
使用SpringSecurity前后端分离,使登录参数支持RequestBody后,单点登录功能失效,最终通过调试源码找到解决办法
SpringSecurity登录使用JSON格式数据
qq_40151840的博客
03-07 1597
SpringSecurity登录使用JSON格式数据 作者:zerouwar 出处:https://www.jianshu.com/p/693914564406 1. 前言 最近在自己鼓捣Spring Security,在用 postman 测试登录接口的时候,发现如果 username、password是以 Json 格式传输的话,是没有办法正常登录的。查阅了资料才知道,Spring Secur...
初步理解Spring Security并实践
north hunter
05-31 468
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用spring boot所以我是引入spring-bo...
spring-boot-security使用json请求登陆
u013326684的博客
05-03 269
上面的代码说明一下,我把这个过滤器放入spring容器了,为的就是使用它的JPA的功能,也就是引入CustomUserDetailsService这个服务,这个服务就是查我自定义的用户表,我不想写的太多的代码跟文字,这样你们就不太愿意看这个文章。2、我要的效果是我在postman发post登录请求,返回一个jsessionId,我用这个jsessionId可以再次发起别的请求,我用网上别人提到的一些方法都没有实现,可能是我操作不对。1、在网上找了一些别人的作法,发现都没有实现我的效果,看来只能自己写呢。
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring BootSpring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
SpringMVC-RESTful-Json:Spring Rest JSON演示
05-20
例如,使用Spring Security进行权限控制,使用Swagger生成API文档,以及对API的性能监控和调优。 总的来说,“SpringMVC-RESTful-Json”项目是一个实践Spring MVC构建RESTful服务的示例,通过它,你可以学习到如何...
spring-rest:如何使用Spring框架来使用Spring Boot和JPA创建REST API
02-18
- 考虑使用Spring Security进行授权和身份验证,防止未授权访问。 - 可以添加`@CrossOrigin`注解允许跨域请求,或者配置CORS过滤器。 8. **文档化API**: - 可以使用Swagger或Springfox等工具生成API文档,方便...
确保rest-api-spring-securitySpring Boot 2.2.x + Spring 5.2.x Rest Api安全示例
01-30
这个示例代码应该提供了一个基础的框架,帮助你在Spring Boot 2.2.x和Spring 5.2.x环境中开始使用Spring Security保护REST API。然而,实际应用可能需要更复杂的配置,例如集成自定义用户细节服务、处理刷新令牌、...
spring-websocket-test:使用 Spring-BootJAVA 进行 Websocket 测试
07-22
在本文中,我们将深入探讨如何使用Spring BootJava实现WebSocket测试。WebSocket是一种在客户端和服务器之间建立长连接的协议,允许双向通信,为实时应用提供了高效的数据传输机制。Spring框架提供了一套全面的...
java-spring-rest-app:使用Java Spring构建的RESTful Web应用
04-14
- **Jackson库**:Spring默认使用Jackson库将Java对象转换为JSON格式,反之亦然。 - **@ResponseBody**:用于表示方法返回值应直接写入HTTP响应体,常与JSON序列化一起使用。 6. **Spring Boot与自动化配置** - ...
spring-rest-jwt-sample:该示例演示了如何创建Spring REST API以及如何使用Spring Boot使用Spring SecurityJSON Web Token(JWT)进行安全保护。
05-26
本示例项目"spring-rest-jwt-sample"专注于讲解如何构建一个基于Spring框架的RESTful API,并结合Spring BootSpring Security,采用JSON Web Token(JWT)进行安全认证和授权。理解这一过程对于开发健壮且安全的...
spring Security Json 数据库登录验证
01-21
在这个主题中,我们将深入探讨如何在Spring Boot应用中使用Spring Security进行JSON数据库登录验证。 首先,`pom.xml`是Maven项目的核心配置文件,这里我们需要引入Spring Security的相关依赖,例如`spring-boot-...
Spring-REST-API:Spring Boot Api REST-产品
02-21
在IT行业中,Spring框架是Java开发者的首选工具之一,尤其在构建RESTful API时,Spring Boot使用变得越来越广泛。本项目"Spring-REST-API:Spring Boot Api REST-产品"显然是一个利用Spring Boot来创建RESTful API...
系列十一、Spring Security登录接口兼容JSON格式登录
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
01-13 632
*** @Author : 一叶浮萍归大海*/@Overrideif (!try {try {} else {try {/*** 检查验证码*/return;return;if (!return;
Spring Security 前后端分离实现登录6
m0_54797663的博客
09-08 565
Spring Security 前后端分离实现登录 前后端分离的数据交互 在前后端分离这样的开发架构下,前后端的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只返回json,不做页面跳转。页面跳转是前端的事情。 登录成功了,服务端就返回一段登录成功的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。 登录失败了,服务端就返回一段登录失败的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。 登录成功 之前我们配置登录成功的处理是通过如下两
spring-mvc-boot-5 【@RequestBody】自定义参数转换 和 输出 JSON
良之才的专栏
06-14 2070
一、原理 HTTP 的请求 = 请求头 ( Header )+ 请求体 (Body )+ URL + 参数,服务器还包含其上下文环境和客户端交互会话( Session )机制,而这里的消息转换是指请求体的转换 。 当一个请求来到时,会首先从http请求和上下文环境来得到参数。 注1:如果是简单的参数,会以简单的转换器进行转换,这是SpringMVC自身提供的。如int等。 ...
websocket配合spring-security使用token认证
05-21
可以通过在Spring Security中配置一个Token认证过滤器来实现基于WebSocket的Token认证。具体步骤如下: 1. 创建一个TokenAuthenticationFilter类,继承自OncePerRequestFilter并实现doFilterInternal方法。该类负责检查请求中是否包含有效的Token,并进行相应的认证处理。 ```java public class TokenAuthenticationFilter extends OncePerRequestFilter { private final TokenProvider tokenProvider; public TokenAuthenticationFilter(TokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = getTokenFromRequest(request); if (StringUtils.hasText(token) && tokenProvider.validateToken(token)) { Authentication authentication = tokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } private String getTokenFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 2. 创建一个TokenProvider类,用于生成Token和验证Token的有效性,并根据Token获取用户信息。 ```java @Component public class TokenProvider { private static final String SECRET_KEY = "my-secret-key"; private static final long EXPIRATION_TIME = 86400000; // 1 day public String generateToken(Authentication authentication) { UserPrincipal principal = (UserPrincipal) authentication.getPrincipal(); Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); return Jwts.builder() .setSubject(Long.toString(principal.getId())) .setIssuedAt(new Date()) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } public Authentication getAuthentication(String token) { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); UserPrincipal principal = new UserPrincipal(userId); return new UsernamePasswordAuthenticationToken(principal, "", principal.getAuthorities()); } } ``` 3. 在配置类中注册TokenAuthenticationFilter和TokenProvider,并将TokenAuthenticationFilter添加到Spring Security的过滤器链中。 ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Autowired private TokenProvider tokenProvider; @Override public void configureMessageBroker(MessageBrokerRegistry config) { config.enableSimpleBroker("/topic"); config.setApplicationDestinationPrefixes("/app"); } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/ws").setAllowedOriginPatterns("*").withSockJS(); } @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new ChannelInterceptorAdapter() { @Override public Message<?> preSend(Message<?> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String token = accessor.getFirstNativeHeader("Authorization"); if (StringUtils.hasText(token) && token.startsWith("Bearer ")) { token = token.substring(7); TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); SecurityContextHolder.getContext().setAuthentication(filter.getAuthentication(token)); } } return message; } }); } @Override public void configureClientOutboundChannel(ChannelRegistration registration) { } @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) { } @Override public void addReturnValueHandlers(List<HandlerMethodReturnValueHandler> returnValueHandlers) { } @Override public boolean configureMessageConverters(List<MessageConverter> messageConverters) { return true; } @Override public void configureWebSocketTransport(WebSocketTransportRegistration registry) { } @Bean public TokenAuthenticationFilter tokenAuthenticationFilter() throws Exception { TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); filter.setAuthenticationManager(authenticationManager()); return filter; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override @Bean public UserDetailsService userDetailsService() { return new UserDetailsServiceImpl(); } } ``` 在上述代码中,我们通过重写configureClientInboundChannel方法,在连接到WebSocket时获取请求中的Token,并使用TokenAuthenticationFilter进行认证。注意,我们需要将TokenAuthenticationFilter添加到Spring Security的过滤器链中,以便它能够在WebSocket连接期间对请求进行拦截。 最后,我们需要在客户端的连接请求中添加Authorization头部,以便在服务端进行Token认证。例如: ```javascript stompClient.connect({}, function(frame) { console.log('Connected: ' + frame); stompClient.subscribe('/topic/greetings', function(greeting) { showGreeting(JSON.parse(greeting.body).content); }); }, function(error) { console.log('Error: ' + error); }, {"Authorization": "Bearer " + token}); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值