Spring Security的API Key实现SpringBoot 接口安全

于 2024-03-06 10:07:30 发布
阅读量1.5k 收藏 21
点赞数 18
分类专栏: SpringSecurity学习笔记 文章标签: 接口安全 API KEYS SpringSecurity
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hcyxsh/article/details/136497518
版权
本文详细介绍了如何在SpringSecurity中使用APIKey进行RESTAPI的身份验证,包括添加依赖、验证请求头、自定义Authentication和Filter,以及在SpringBoot应用中的配置和测试过程。
摘要由CSDN通过智能技术生成

Spring Security的API Key实现SpringBoot 接口安全

Spring Security 提供了各种机制来保护我们的 REST API。其中之一是 API 密钥。API 密钥是客户端在调用 API 调用时提供的令牌。

在本教程中,我们将讨论如何在Spring Security中实现基于API密钥的身份验证。
API Keys
一些REST API使用API密钥进行身份验证。API密钥是一个标记,用于向API客户端标识API,而无需引用实际用户。标记可以作为查询字符串或在请求头中发送。

一 添加依赖

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

二 验证请求头的API KEY

public class AuthenticationService {
    private static final String AUTH_TOKEN_HEADER_NAME = "X-API-KEY";
    private static final String AUTH_TOKEN = "Baeldung";

    public static Authentication getAuthentication(HttpServletRequest request) {
        String apiKey = request.getHeader(AUTH_TOKEN_HEADER_NAME);

        if ((apiKey == null) || !apiKey.equals(AUTH_TOKEN)) {
            throw new BadCredentialsException("Invalid API Key");
        }

        return new ApiKeyAuthentication(apiKey, AuthorityUtils.NO_AUTHORITIES);
    }
}

在这里,我们检查请求头是否包含 API Key,如果为空 或者Key值不等于密钥,那么就抛出一个 BadCredentialsException。如果请求头包含 API Key,并且验证通过,则将密钥添加到安全上下文中,然后调用下一个安全过滤器。getAuthentication 方法非常简单,我们只是比较 API Key 头部和密钥是否相等。

为了构建 Authentication 对象,我们必须使用 Spring Security 为了标准身份验证而构建对象时使用的相同方法。所以,需要扩展 AbstractAuthenticationToken 类并手动触发身份验证。

三 扩展AbstractAuthenticationToken

为了成功地实现我们应用的身份验证功能,我们需要将传入的API Key转换为AbstractAuthenticationToken类型的身份验证对象。AbstractAuthenticationToken类实现了Authentication接口,表示一个认证请求的主体和认证信息。

public class ApiKeyAuthentication extends AbstractAuthenticationToken {
    private final String apiKey;

    public ApiKeyAuthentication(String apiKey,
        Collection<?extends GrantedAuthority> authorities) {
        super(authorities);
        this.apiKey = apiKey;
        setAuthenticated(true);
    }

    @Override
    public Object getCredentials() {
        return null;
    }

    @Override
    public Object getPrincipal() {
        return apiKey;
    }
}

ApiKeyAuthentication 类是类型为 AbstractAuthenticationToken 的对象,其中包含从 HTTP 请求中获取的 apiKey 信息。在构造方法中使用 setAuthenticated(true) 方法。因此,Authentication对象包含 apiKey 和authenticated字段
在这里插入图片描述

四 创建自定义过滤器

实现思路是从请求头中获取API Key,然后使用我们的配置检查秘钥。在这种情况下,我们需要在Spring Security 配置类中添加一个自定义的Filter。

我们将从实现GenericFilterBean开始。GenericFilterBean是一个基于javax.servlet.Filter接口的简单Spring实现。

public class AuthenticationFilter extends GenericFilterBean {

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain)
      throws IOException, ServletException {
        try {
            Authentication authentication = AuthenticationService.getAuthentication((HttpServletRequest) request);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        } catch (Exception exp) {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            httpResponse.setContentType(MediaType.APPLICATION_JSON_VALUE);
            PrintWriter writer = httpResponse.getWriter();
            writer.print(exp.getMessage());
            writer.flush();
            writer.close();
        }

        filterChain.doFilter(request, response);
    }
}

我们只需要实现doFilter()方法,在这个方法中我们从请求头中获取API Key,并将生成的Authentication对象设置到当前的SecurityContext实例中。

然后请求被传递给其余的过滤器处理,接着转发给DispatcherServlet最后到达我们的控制器。

五 配置类

通过创建建一个SecurityFilterChain bean,可以通过编程方式把我们上面编写的自定义过滤器(Filter)进行注册。

我们需要在 HttpSecurity 实例上使用 addFilterBefore() 方法在 UsernamePasswordAuthenticationFilter 类之前添加 AuthenticationFilter。

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.csrf()
          .disable()
          .authorizeRequests()
          .antMatchers("/**")
          .authenticated()
          .and()
          .httpBasic()
          .and()
          .sessionManagement()
          .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
          .and()
          .addFilterBefore(new AuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }

}

六 测试

  1. controller
@RestController
public class ResourceController {
    @GetMapping("/home")
    public String homeEndpoint() {
        return "Baeldung !";
    }
}
  1. 启动类
    禁用 Auto-Configuration
@SpringBootApplication(exclude = {SecurityAutoConfiguration.class, UserDetailsServiceAutoConfiguration.class})
public class ApiKeySecretAuthApplication {

    public static void main(String[] args) {
        SpringApplication.run(ApiKeySecretAuthApplication.class, args);
    }
}
  1. 测试
curl --location --request GET 'http://localhost:8080/home'

结果返回401
请求头中加上API Key后,再次请求

curl --location --request GET 'http://localhost:8080/home' \
--header 'X-API-KEY: Baeldung'

结果返回200

勉之~
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringBoot Security整合JWT授权RestAPI实现
08-25
主要介绍了SpringBoot Security整合JWT授权RestAPI实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
Spring Security APISpring Security 开发文档).CHM
08-31
Spring Security。 官网 Spring Security APISpring Security 开发文档).CHM
Spring Security系列教程11--Spring Security核心API讲解
一一哥
09-24 2641
前言 经过前面几个章节的学习,一一哥 带大家实现了基于内存和数据库模型的认证与授权,尤其是基于自定义的数据库模型更是可以帮助我们进行灵活开发。但是前面章节的内容,属于让我们达到了 "会用" 的层级,但是 "为什么这么用",很多小伙伴就会一脸懵逼了。对于技术学习来说,我们追求的不仅要 "知其然",更要 "知其所以然"! 本篇文章中,壹哥 就跟各位小伙伴一起来了解剖析Spring Security源码内部,实现认证授权的具体过程及底层原理。接下来请各位做好心理准备,以下的学习过程可能会让你心理 “稍有不适”
spring-security api
电量不足zZ
04-22 402
http://docs.spring.io/autorepo/docs/spring-security/
Spring Security API: UserDetailsService
dengdeying的博客
12-24 203
文章目录UserDetailsServiceDeclaredClass JDOCloadUserByUsernameDeclaredMethod JDOC UserDetailsService Declared package org.springframework.security.core.userdetails; public interface UserDetailsService Cl...
SpringBoot使用API KEY保护接口安全
weixin_43890927的博客
06-27 1601
在这里,我们检查请求头是否包含 API Key,如果为空 或者Key值不等于密钥,那么就抛出一个 BadCredentialsException。我们只需要实现doFilter()方法,在这个方法中我们从请求头中获取API Key,并将生成的Authentication对象设置到当前的SecurityContext实例中。API密钥是一个标记,用于向API客户端标识API,而无需引用实际用户。在本教程中,我们将讨论如何在Spring Security实现基于API密钥的身份验证。
springboot实现接口签名
06-06
本文将深入探讨如何使用Java和Spring Boot来实现接口签名。 首先,接口签名的基本原理是通过一种约定好的方式,如哈希算法,将请求的特定信息(如URL、参数、时间戳等)和一个私有密钥结合,生成一个唯一的签名字符...
SpringBoot+Security 发送短信验证码的实现
08-27
本篇文章将详细介绍如何在SpringBoot项目中结合Spring Security实现发送短信验证码的功能,以增强用户注册或登录过程的安全性。 首先,我们需要在项目的`core`模块下创建一个`properties`包,并在此包内定义一个名...
Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager.zip
11-17
本项目“Springboot+SpringSecurity+SpringSession+Redis+Mybatis-Plus+Swwager”整合了Spring Boot、Spring SecuritySpring Session、Redis、Mybatis-Plus以及Swagger等技术,旨在构建一个强大的、安全的、具有...
SpringSecurity之JWT实现token认证和授权.zip
08-09
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,广泛用于构建安全的Java Web应用程序。它提供了全面的安全管理组件,包括用户认证、权限控制、会话管理等。在这个主题中,我们将深入探讨如何...
Spring Security 权限控制中文API
12-12
非常详细的Spring Security 权限控制中文API
spring-security-core-5.5.2-API文档-中文版.zip
06-04
赠送jar包:spring-security-core-5.5.2.jar; 赠送原API文档:spring-security-core-5.5.2-javadoc.jar; 赠送源代码:spring-security-core-5.5.2-sources.jar; 赠送Maven依赖信息文件:spring-security-core-5.5.2.pom; 包含翻译后的API文档:spring-security-core-5.5.2-javadoc-API文档-中文(简体)版.zip; Maven坐标:org.springframework.security:spring-security-core:5.5.2; 标签:springframework、securityspring、core、中文文档、jar包、java; 使用方法:解压翻译后的API文档,用浏览器打开“index.html”文件,即可纵览文档内容。 人性化翻译,文档中的代码和结构保持不变,注释和说明精准翻译,请放心使用。
spring3.0+spring security3.1.4 api chm 中文版
07-19
spring3.0中文帮助文档,CHM版,中文离线版,以及spring security3.1.4帮助文档
基于springboot+springSecurity+jwt实现的基于token的权限管理+源代码+文档
最新发布
04-08
本项目基于Spring Boot、Spring Security以及JWT(JSON Web Tokens)技术,提供了一种实现基于token的权限管理的解决方案。下面将详细阐述这些关键技术及其相互间的协同工作。 **Spring Boot** Spring Boot是Spring...
spring boot整合JWT 2
10-17
在IDEA中运行`springsecuritydemo5`项目,可以尝试发送登录请求获取JWT,然后在后续的API调用中附带该令牌,观察Spring Security如何处理这些请求。 总结,Spring Boot结合JWT提供了高效、安全的身份验证和授权解决...
Spring Security API: User
dengdeying的博客
12-24 170
User package org.springframework.security.core.userdetails; public class User implements UserDetails, CredentialsContainer Class JDOC 由UserDetailsService检索的核心用户信息的模型。 开发人员可以直接使用这个类,子类化它,或者从头开始编写他们自己的...
Spring Security(四)用户信息相关API
dengdeying的博客
12-17 286
文章目录interface UserDetailsClass JDOCCollection<? extends GrantedAuthority> getAuthorities()Method JDOCreturnsString getPassword()Method JDOCString getUsername()Method JDOCboolean isAccountNonExpi...
springSecurity配置和相关API
weixin_45933638的博客
12-26 330
首先进行pom文件配置 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> Config类的配置 通过连接数据库上的数据进行验证 ...
SpringSecurity 整合 JWT.docx
06-27
然而,仅使用Spring Security还不足以实现完整的身份验证和授权流程。这时,JSON Web Token (JWT)就发挥了作用。JWT是一种轻量级的身份验证机制,它允许在客户端和服务器之间安全地传递信息,而无需在每次请求时都...
springboot整合springsecurity和jwt
04-28
好的,这是一个比较常见的需求,下面是大致的步骤: 1. 在pom.xml中引入spring-security和jwt相关依赖 ```xml <!-- Spring Security --> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> <version>${spring-security.version}</version> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> <version>${spring-security.version}</version> </dependency> <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>${jjwt.version}</version> </dependency> ``` 其中 `${spring-security.version}` 和 `${jjwt.version}` 分别为 Spring Security 和 JWT 的版本号。 2. 配置 Spring SecuritySpring Boot 中,使用 Java Config 来配置 Spring Security。具体的配置可以参考如下代码: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired private JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint; @Bean public JwtAuthenticationFilter jwtAuthenticationFilter() { return new JwtAuthenticationFilter(); } @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**") .permitAll() .anyRequest() .authenticated() .and() .exceptionHandling() .authenticationEntryPoint(jwtAuthenticationEntryPoint) .and() .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } } ``` 上面的代码中,我们配置了: - `userDetailsService`:用于从数据库中读取用户信息。 - `JwtAuthenticationEntryPoint`:用于处理认证失败的情况。 - `JwtAuthenticationFilter`:用于处理 JWT 认证。 在 `configure(HttpSecurity http)` 中,我们配置了哪些请求需要认证,哪些请求不需要认证,以及异常处理和 session 管理等。 3. 配置 JWT 在 JWT 中,我们需要定义一个 secret key 用于签名和验证 JWT。可以在 application.properties 中配置: ```properties jwt.secret=mySecretKey jwt.expirationMs=86400000 ``` 其中,`jwt.secret` 是用于签名和验证 JWT 的 secret key,`jwt.expirationMs` 是 JWT 的过期时间(单位为毫秒)。 然后,我们可以定义一个 `JwtUtils` 类来生成和解析 JWT: ```java @Component public class JwtUtils { @Value("${jwt.secret}") private String jwtSecret; @Value("${jwt.expirationMs}") private int jwtExpirationMs; public String generateJwtToken(Authentication authentication) { UserPrincipal userPrincipal = (UserPrincipal) authentication.getPrincipal(); return Jwts.builder() .setSubject(userPrincipal.getUsername()) .setIssuedAt(new Date()) .setExpiration(new Date((new Date()).getTime() + jwtExpirationMs)) .signWith(SignatureAlgorithm.HS512, jwtSecret) .compact(); } public String getUsernameFromJwtToken(String token) { return Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(token).getBody().getSubject(); } public boolean validateJwtToken(String authToken) { try { Jwts.parser().setSigningKey(jwtSecret).parseClaimsJws(authToken); return true; } catch (SignatureException e) { logger.error("Invalid JWT signature: {}", e.getMessage()); } catch (MalformedJwtException e) { logger.error("Invalid JWT token: {}", e.getMessage()); } catch (ExpiredJwtException e) { logger.error("JWT token is expired: {}", e.getMessage()); } catch (UnsupportedJwtException e) { logger.error("JWT token is unsupported: {}", e.getMessage()); } catch (IllegalArgumentException e) { logger.error("JWT claims string is empty: {}", e.getMessage()); } return false; } } ``` 上面的代码中,我们使用了 `Jwts.builder()` 和 `Jwts.parser()` 来生成和解析 JWT。 4. 配置认证接口 最后,我们可以在认证接口中生成 JWT 并返回给客户端: ```java @RestController @RequestMapping("/api/auth") public class AuthController { @Autowired private AuthenticationManager authenticationManager; @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsService userDetailsService; @PostMapping("/signin") public ResponseEntity<?> authenticateUser(@RequestBody LoginRequest loginRequest) { Authentication authentication = authenticationManager.authenticate( new UsernamePasswordAuthenticationToken(loginRequest.getUsername(), loginRequest.getPassword())); SecurityContextHolder.getContext().setAuthentication(authentication); String jwt = jwtUtils.generateJwtToken(authentication); UserDetails userDetails = userDetailsService.loadUserByUsername(loginRequest.getUsername()); return ResponseEntity.ok(new JwtResponse(jwt, userDetails.getUsername(), userDetails.getAuthorities())); } } ``` 上面的代码中,我们使用了 `AuthenticationManager` 来进行认证,然后使用 `JwtUtils` 生成 JWT 并返回给客户端。 以上就是整合 Spring Security 和 JWT 的大致步骤,具体实现过程还需根据实际情况进行调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值