Spring Security-6:登录使用 body JSON 传参

最新推荐文章于 2024-07-25 08:42:09 发布
最新推荐文章于 2024-07-25 08:42:09 发布
阅读量1.7k 收藏 4
点赞数 1
分类专栏: Spring Security 文章标签: spring java spring boot shiro
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/github_39436025/article/details/110425997
版权
本文介绍了在Spring Security中如何处理JSON格式的登录参数,包括自定义用户名密码认证过滤器、修改SecurityConfig配置、处理验证码读取以及实现登出功能。通过自定义过滤器读取请求body中的参数,解决了请求流只能读取一次的问题,并在登出时清除session id。
摘要由CSDN通过智能技术生成

更多内容欢迎访问我的个人 Java 站点:开坑组-Java站

前言

之前的5个篇章基本上能完成一个登录模块,这篇我们介绍下如何在 body 中使用 JSON 来传参调用登录接口,后续还会再补充下登出逻辑。

1. 添加工具类

工具类中添加用于从 HttpServletRequest 中获取参数的方法

package com.example.security.utils;

import com.fasterxml.jackson.databind.ObjectMapper;
import lombok.extern.slf4j.Slf4j;
import org.apache.logging.log4j.util.Strings;

import javax.servlet.ServletInputStream;
import javax.servlet.http.HttpServletRequest;
import java.util.HashMap;
import java.util.Map;

@Slf4j
public class CommonUtil {

    private static final String PARSED_BODY_KEY = "PARSED_BODY";

    /**
     * 获取请求中的所有参数
     */
    public static final Map<String, Object> getBodyParametersFromRequest(HttpServletRequest request) {
        Map<String, Object> map = null;

        if (request != null) {
            // 优先从 request attribute 中读取参数
            map = (Map<String, Object>) request.getAttribute(PARSED_BODY_KEY);

            // 若从 request attribute 没有读取到参数则从 request 中读取,这样做是因为 request 的流只能读取一次
            if (map == null) {
                map = readParamsFromRequest(request);
                // 读取完以后存入 request attribute
                request.setAttribute(PARSED_BODY_KEY, map);
            }
        }

        if (map == null) {
            map = new HashMap<>(0);
        }

        return map;
    }

    /**
     * 获取请求中的指定字符串参数
     */
    public static final String getStringBodyParameterFromRequest(HttpServletRequest request, String key) {
        String result = Strings.EMPTY;
        Map<String, Object> map = getBodyParametersFromRequest(request);

        if (map.get(key) != null) {
            result = map.get(key).toString();
        }

        return result;
    }

    /**
     * 从请求中读取参数,转为 Map
     */
    private static Map<String, Object> readParamsFromRequest(HttpServletRequest request) {
        Map<String, Object> map = null;

        try {
            // 从 request 中读取 Body 数据
            ServletInputStream inputStream = request.getInputStream();
            StringBuilder content = new StringBuilder();
            byte[] b = new byte[1024];
            int lens;
            while ((lens = inputStream.read(b)) > 0) {
                content.append(new String(b, 0, lens));
            }

            // 将字符串转换为 Map 集合
            ObjectMapper mapper = new ObjectMapper();
            map = mapper.readValue(content.toString(), Map.class);
        } catch (Exception ex) {
            log.error("Error occurred while read params from request");
        }

        return map;
    }
}

2. 添加自定义用户名密码认证过滤器

继承 UsernamePasswordAuthenticationFilter 类,并复写 attemptAuthentication 方法,主动读取 body 中的参数。

package com.example.security.filter;

import com.example.security.utils.CommonUtil;
import org.springframework.http.MediaType;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

import javax.servl
最低0.47元/天 解锁文章
老菜鸟zzzzz
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
SpringBoot集成SpringSecurity(六、登录失败响应Json
伍妖捌的小屋
05-16 558
前言 之前已经介绍了登录成功响应Json,那么登录失败响应Json跟之前一样的原理,下面进行实现实现 新建SignInFailureHandler @Component public class SignInFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServlet
Spring Security 使用 JSON 登录
那杯热咖啡
09-09 2977
首先创建 SpringBoot 工程,添加 SpringSecurity 依赖,如下: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </...
详细带你彻底搞懂 Spring Security 6.0 的实现原理
最新发布
2301_76419561的博客
07-25 711
Spring Security 6.0是一个功能强大且可扩展的身份验证和访问控制框架,它用于保护基于Java的应用程序。其主要目标是提供一个全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等功能。身份验证(Authentication)身份验证是确认用户身份的过程。Spring Security提供了多种身份验证机制,如表单登录、HTTP基本身份验证、OAuth2等。在Spring Security中,负责处理身份验证逻辑。当用户提供凭据(如用户名和密码)时,将创建一个。
关于使SpringSecurity登录参数使用requestBody后引发的一系列问题及解决
c_z_z的博客
06-12 1077
使用SpringSecurity前后端分离,使登录参数支持RequestBody后,单点登录功能失效,最终通过调试源码找到解决办法
SpringSecurity登录使用JSON格式数据
qq_40151840的博客
03-07 1615
SpringSecurity登录使用JSON格式数据 作者:zerouwar 出处:https://www.jianshu.com/p/693914564406 1. 前言 最近在自己鼓捣Spring Security,在用 postman 测试登录接口的时候,发现如果 username、password是以 Json 格式传输的话,是没有办法正常登录的。查阅了资料才知道,Spring Secur...
初步理解Spring Security并实践
north hunter
05-31 470
转载自:https://www.jianshu.com/p/e6655328b211Spring Security主要做两件事,一件是认证,一件是授权。1.Spring Security初体验Spring Security如何使用,先在你的项目pom.xml文件中声明依赖。&lt;dependency&gt; &lt;!-- 由于我使用spring boot所以我是引入spring-bo...
spring-boot-security使用json请求登陆
u013326684的博客
05-03 270
上面的代码说明一下,我把这个过滤器放入spring容器了,为的就是使用它的JPA的功能,也就是引入CustomUserDetailsService这个服务,这个服务就是查我自定义的用户表,我不想写的太多的代码跟文字,这样你们就不太愿意看这个文章。2、我要的效果是我在postman发post登录请求,返回一个jsessionId,我用这个jsessionId可以再次发起别的请求,我用网上别人提到的一些方法都没有实现,可能是我操作不对。1、在网上找了一些别人的作法,发现都没有实现我的效果,看来只能自己写呢。
SpringMVC-RESTful-Json:Spring Rest JSON演示
05-20
例如,使用Spring Security进行权限控制,使用Swagger生成API文档,以及对API的性能监控和调优。 总的来说,“SpringMVC-RESTful-Json”项目是一个实践Spring MVC构建RESTful服务的示例,通过它,你可以学习到如何...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
在IT行业中,Spring BootSpring Security是两个非常重要的框架,它们在构建现代Web应用程序时起着核心作用。JWT(Json Web Token)则是一种安全的身份验证机制,被广泛应用于微服务架构和API授权。本篇文章将深入...
java-spring-rest-app:使用Java Spring构建的RESTful Web应用
04-14
- **Jackson库**:Spring默认使用Jackson库将Java对象转换为JSON格式,反之亦然。 - **@ResponseBody**:用于表示方法返回值应直接写入HTTP响应体,常与JSON序列化一起使用。 6. **Spring Boot与自动化配置** - ...
spring-websocket-test:使用 Spring-BootJAVA 进行 Websocket 测试
07-22
在本文中,我们将深入探讨如何使用Spring BootJava实现WebSocket测试。WebSocket是一种在客户端和服务器之间建立长连接的协议,允许双向通信,为实时应用提供了高效的数据传输机制。Spring框架提供了一套全面的...
系列十一、Spring Security登录接口兼容JSON格式登录
仰望星空,脚踏实地!安全感是自己给的,努力才是一辈子的安全感。
01-13 640
*** @Author : 一叶浮萍归大海*/@Overrideif (!try {try {} else {try {/*** 检查验证码*/return;return;if (!return;
Spring Security 前后端分离实现登录6
m0_54797663的博客
09-08 568
Spring Security 前后端分离实现登录 前后端分离的数据交互 在前后端分离这样的开发架构下,前后端的交互都是通过 JSON 来进行,无论登录成功还是失败,后端只返回json,不做页面跳转。页面跳转是前端的事情。 登录成功了,服务端就返回一段登录成功的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。 登录失败了,服务端就返回一段登录失败的提示 JSON 给前端,前端收到之后,由前端自己决定页面跳转,和后端没有关系了。 登录成功 之前我们配置登录成功的处理是通过如下两
spring-mvc-boot-5 【@RequestBody】自定义参数转换 和 输出 JSON
良之才的专栏
06-14 2070
一、原理 HTTP 的请求 = 请求头 ( Header )+ 请求体 (Body )+ URL + 参数,服务器还包含其上下文环境和客户端交互会话( Session )机制,而这里的消息转换是指请求体的转换 。 当一个请求来到时,会首先从http请求和上下文环境来得到参数。 注1:如果是简单的参数,会以简单的转换器进行转换,这是SpringMVC自身提供的。如int等。 ...
【经验篇】SpringBoot获取request bodyjson遇到的问题
qq_18244417的博客
05-09 4998
背景最近开发项目,因为有第三方调用我们的接口,我们使用SpringBootJavaBean的方式接收了我们预期的参数,参数接收也没有什么异常。但是有一些需求问题需要沟通,需要拿到合作第三方传入的所有参数,来进行参数核验。如何拿到请求的所有参数呢?正常的思路肯定是从request中获取,如果是GET请求,参数在请求路径中拼接;如果是POST请求,参数在request的请求...
SpringSecurity6.x 多种登录方式配置
qq_32681671的博客
11-29 1171
4. 配置SecurityConfiguration,把上边的两个 登录过滤器加到过滤器链中。在编写多种登录方式的时候,网上大多是5.x的,很多类都没了。以下是SpringSecurity6.x多种登录方式的写法。SpringSecurity6.x变了很多写法。2. 编写第二种登录方式-手机验证码登录。3. 编写验证码登录处理器。
SpringBoot如何配置获取request中bodyjson格式参数
qq_45472669的博客
11-02 3993
背景介绍:最近开发一个http的插件应用对接别人的报警推送平台 平台方给的json报文并不全,需要我们自己做个模拟接口来确定报文格式,也就是需要拿到他们传来的报警参数。注意事项:Param是测试的实体类,怎么写它的属性都行,嫌麻烦的话就直接用我的吧。1.定义增强类,继承HttpServletRequestWrapper。借鉴的很多大佬的博客资料 终于确定了最主流的一套方法:包装类+过滤器。4.创建模拟接口测试。
扩展篇:Spring Security在前后端分离下的JSON交互方案
小奇学编程的博客
10-18 549
通过前几篇的文章, Spring Security的认证系列基本介绍完毕,前几篇的系列文章更多的是关注 认证本身,对一些细枝末节没有额外的展开,因此接下来的两篇文章会补充讲解一些额外的知识。 本篇文章主要扩展讲解在前后端分离的架构下,Spring Security该如何处理 JSON 类型的数据交互。 随着技术的发展,分工越来越明细;“让专业的人干专业的事” 是发展的主旋律。回到我们的登录认证上,即无论登录成功还是失败,服务端都返回一段 JSON 给前端,该跳转还是该展示就由前端自己决定;前端的事就让前端.
websocket配合spring-security使用token认证
05-21
可以通过在Spring Security中配置一个Token认证过滤器来实现基于WebSocket的Token认证。具体步骤如下: 1. 创建一个TokenAuthenticationFilter类,继承自OncePerRequestFilter并实现doFilterInternal方法。该类负责检查请求中是否包含有效的Token,并进行相应的认证处理。 ```java public class TokenAuthenticationFilter extends OncePerRequestFilter { private final TokenProvider tokenProvider; public TokenAuthenticationFilter(TokenProvider tokenProvider) { this.tokenProvider = tokenProvider; } @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = getTokenFromRequest(request); if (StringUtils.hasText(token) && tokenProvider.validateToken(token)) { Authentication authentication = tokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } filterChain.doFilter(request, response); } private String getTokenFromRequest(HttpServletRequest request) { String bearerToken = request.getHeader("Authorization"); if (StringUtils.hasText(bearerToken) && bearerToken.startsWith("Bearer ")) { return bearerToken.substring(7); } return null; } } ``` 2. 创建一个TokenProvider类,用于生成Token和验证Token的有效性,并根据Token获取用户信息。 ```java @Component public class TokenProvider { private static final String SECRET_KEY = "my-secret-key"; private static final long EXPIRATION_TIME = 86400000; // 1 day public String generateToken(Authentication authentication) { UserPrincipal principal = (UserPrincipal) authentication.getPrincipal(); Date expirationDate = new Date(System.currentTimeMillis() + EXPIRATION_TIME); return Jwts.builder() .setSubject(Long.toString(principal.getId())) .setIssuedAt(new Date()) .setExpiration(expirationDate) .signWith(SignatureAlgorithm.HS512, SECRET_KEY) .compact(); } public boolean validateToken(String token) { try { Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token); return true; } catch (Exception e) { return false; } } public Authentication getAuthentication(String token) { Claims claims = Jwts.parser().setSigningKey(SECRET_KEY).parseClaimsJws(token).getBody(); Long userId = Long.parseLong(claims.getSubject()); UserPrincipal principal = new UserPrincipal(userId); return new UsernamePasswordAuthenticationToken(principal, "", principal.getAuthorities()); } } ``` 3. 在配置类中注册TokenAuthenticationFilter和TokenProvider,并将TokenAuthenticationFilter添加到Spring Security的过滤器链中。 ```java @Configuration @EnableWebSocketMessageBroker public class WebSocketConfig implements WebSocketMessageBrokerConfigurer { @Autowired private TokenProvider tokenProvider; @Override public void configureMessageBroker(MessageBrokerRegistry config) { config.enableSimpleBroker("/topic"); config.setApplicationDestinationPrefixes("/app"); } @Override public void registerStompEndpoints(StompEndpointRegistry registry) { registry.addEndpoint("/ws").setAllowedOriginPatterns("*").withSockJS(); } @Override public void configureClientInboundChannel(ChannelRegistration registration) { registration.interceptors(new ChannelInterceptorAdapter() { @Override public Message<?> preSend(Message<?> message, MessageChannel channel) { StompHeaderAccessor accessor = MessageHeaderAccessor.getAccessor(message, StompHeaderAccessor.class); if (StompCommand.CONNECT.equals(accessor.getCommand())) { String token = accessor.getFirstNativeHeader("Authorization"); if (StringUtils.hasText(token) && token.startsWith("Bearer ")) { token = token.substring(7); TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); SecurityContextHolder.getContext().setAuthentication(filter.getAuthentication(token)); } } return message; } }); } @Override public void configureClientOutboundChannel(ChannelRegistration registration) { } @Override public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) { } @Override public void addReturnValueHandlers(List<HandlerMethodReturnValueHandler> returnValueHandlers) { } @Override public boolean configureMessageConverters(List<MessageConverter> messageConverters) { return true; } @Override public void configureWebSocketTransport(WebSocketTransportRegistration registry) { } @Bean public TokenAuthenticationFilter tokenAuthenticationFilter() throws Exception { TokenAuthenticationFilter filter = new TokenAuthenticationFilter(tokenProvider); filter.setAuthenticationManager(authenticationManager()); return filter; } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable().authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService()) .passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Override @Bean public UserDetailsService userDetailsService() { return new UserDetailsServiceImpl(); } } ``` 在上述代码中,我们通过重写configureClientInboundChannel方法,在连接到WebSocket时获取请求中的Token,并使用TokenAuthenticationFilter进行认证。注意,我们需要将TokenAuthenticationFilter添加到Spring Security的过滤器链中,以便它能够在WebSocket连接期间对请求进行拦截。 最后,我们需要在客户端的连接请求中添加Authorization头部,以便在服务端进行Token认证。例如: ```javascript stompClient.connect({}, function(frame) { console.log('Connected: ' + frame); stompClient.subscribe('/topic/greetings', function(greeting) { showGreeting(JSON.parse(greeting.body).content); }); }, function(error) { console.log('Error: ' + error); }, {"Authorization": "Bearer " + token}); ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值