Spring Security采用JWT验证时filter异常处理和JWT续期问题

最新推荐文章于 2024-08-28 13:41:04 发布
最新推荐文章于 2024-08-28 13:41:04 发布
阅读量2.3k 收藏 4
点赞数 4
分类专栏: 其它 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hey_lie/article/details/134201753
版权

问题描述

security+jwt进行身份认证授权时,在登录前通常增加一个jwtfilter进行jwt验证,filter中的异常并不会被全局异常捕获,导致返回数据格式与统一格式不对

具体描述为: jwtfilter中对分发的token进行验证时抛出的异常捕获统一返回

问题出现原因

通常的filter时java web提供,并不被spring接管

解决方案 将异常抛给controller

JWTFilter中处理异常并跳转到异常处理控制器,再由控制器抛出异常,最终被全局异常捕获,统一返回格式

jwt验证时通常会抛出4中异常

  • ExpiredJwtException token过期时抛出
  • MalformedJwtException token的格式错误,即token被篡改
  • SignatureException token签名错误,生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误
  • UnsupportedJwtException jwt不支持

在进行jwt验证时捕获这4种异常,再处理异常信息抛给controller处理

具体步骤

1 在JwtAuthenticationTokenFilter extends OncePerRequestFilter 中
try {
                Claims claims = JwtUtil.parseJWT(token);
}catch (ExpiredJwtException exception){
                log.error("身份验证过期"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("身份验证过期"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (MalformedJwtException exception){
                log.error("JWT Token格式不对"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("JWT Token格式不对"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (SignatureException exception){
                //生成 token 和解析 token 使用的 SECRET 签名不一致就会报这个错误
                log.error("JWT 签名错误"+exception);
                request.setAttribute("jwtFilter.error",new BaseException("JWT 签名错误"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (UnsupportedJwtException exception){
                log.error("不支持的 Jwt "+exception);
                request.setAttribute("jwtFilter.error",new BaseException("不支持的 Jwt"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
}catch (Exception e) {
                log.error("jwt验证:"+e);
                request.setAttribute("jwtFilter.error",new BaseException("JWT 验证失败"));
                request.getRequestDispatcher("/error/jwtFilter").forward(request,response);
          
}
2 FilterExceptionController 中 最终被抛出,会被全局异常处理器处理返回统一的数据格式
    @RequestMapping("/error/jwtFilter")
    public void jwtFilterException(HttpServletRequest reques){
        log.warn("jwt controller ");
        Exception e = (Exception) reques.getAttribute("jwtFilter.error");
        log.warn(e.getMessage());
        throw e;
    }

其他相关

security在认证授权时抛出的异常

认证时 重写 AuthenticationEntryPoint

授权时 重写 AccessDeniedHandler

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1005",e.getMessage())));
        httpServletResponse.getWriter().flush();
    }
}



@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        httpServletResponse.getWriter().println(JSON.toJSON(BaseResponse.fail("1004",e.getMessage())));
        httpServletResponse.getWriter().flush();
    }
}

在security配置中加入

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)//EnableGlobalMethodSecurity开启全局方法级别授权控制,prePostEnabled在执行方法前进行授权
public class SecurityConfig  extends WebSecurityConfigurerAdapter {
     @Override
    protected void configure(HttpSecurity http) throws Exception {
      //认证失败时的提示返回自定义信息
        http.exceptionHandling()
                .accessDeniedHandler(customAccessDeniedHandler)
                .authenticationEntryPoint(customAuthenticationEntryPoint);


    }
}

JWT续期问题

当jwt token快过期时,可以选择不续期,那么过期后需要用户重新登录再次下发token

续期方案

1 每次请求时续期 【完全不考虑】

即每次请求都重新下发新的token

缺点:下发频率太高,影响性能

2 快过期时续期【可以考虑】

比如30分钟过期时间,当还剩10分钟以内时请求过来进行续期

缺点:

        a. 泄露后容易导致token一直活跃

        b. 且如果是并发请求,容易导致下发多个token        

关于该方案泄露的补丁

可以在token中添加ip或者地域等信息【这些信息应该被加密】,一旦改变ip或者地域就需要重新登录

但是这样如果客户经常更换ip,就需要频繁登录,体验感会不好;可以让用户选择安全模式,如果选择安全模式就需要这样

3 双token【可以考虑】

登录时一次下发两个token

token1用于用户认证,过期时间设置短些,比如1个小时

token2用于续期,过期时间可以设置长些,比如1天

token2的key可以根据自己的习惯设置,可以设置一为无相关性的key,这样能在一定程度上混淆

过程:

登录请求返回 token1、token2和token1的过期时间

前端判断,当token1快过期了,携带token2请求

后端根据token2重新续期token1

缺点:

        前端每次请求都需要先判断token1是否快过期

fooleryang
关注
专栏目录
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证
08-26
SpringBoot+SpringSecurity+JWT+MybatisPlus实现基于注解的权限验证,可根据注解的格式不同,做到角色权限控制,角色加资源权限控制等,粒度比较细化。 @PreAuthorize("hasAnyRole('ADMIN','USER')"):具有admin或user角色的用户可以访问。 @PreAuthorize("hasRole('ADMIN') and hasRole('USER')"):具有admin和user角色的用户可以访问 文章地址:https://blog.csdn.net/fuu123f/article/details/108233463
Jwt认证过滤器实现
qq_58137891的博客
05-09 1284
定义Jwt过滤器后,当用户是已登录状态,在请求头中携带token便可访问相关网页。
登录校验实现——JwtFilter/Interceptor
最新发布
qq_45878280的博客
08-28 415
使用JwtFilter/Interceptor实现登录校验
java jwt刷新_关于JavaSpring Security JWT刷新令牌未过期
weixin_29743373的博客
02-27 594
我是Spring的新手,并且我正在使用Spring Security开发Spring Boot REST,目前我实现了JWT令牌。 我有一些问题,但似乎找不到答案。 我尝试添加刷新令牌。起初,我以为我会将其与用户一起存储在数据库中,但是Spring Security会自动执行所有操作,而且我似乎找不到如何在表用户的给定字段中存储它。因此,继续前进,我决定我将尝试使用Spring Security自...
shiro学习——整合jwt全局异常处理器无法处理JWTFilter中抛出的异常
weixin_43344930的博客
08-09 5132
springboot+shiro+jwt全局异常处理器无法处理JWTFilter中抛出的异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法被全局异常处理器处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常是Shiro在登录认
SpringSecurity整合JWT遇见的异常以及处理方式
weixin_44374025的博客
08-09 5865
JWT异常
SpringBoot集成Spring Security(3)——异常处理
SKT_T1_Faker的博客
11-20 423
有了前两章的铺垫,现在我们学习一下springsecurity是怎样处理异常的 SpringBoot集成Spring Security(1)——入门程序 SpringBoot集成Spring Security(2)——自动登录 不知道你有没有注意到,当我们登陆失败候,spring security帮我们跳转到了/login?error,奇怪的是不管是控制台还是网页上都没有打印错误信息。 ...
SpringSecurity JwtAuthenticationTokenFilter过滤器
weixin_46256404的博客
11-15 4140
SpringSecurity JwtAuthenticationTokenFilter过滤器
SpringSecurity+JWT使用
qq_42218187的博客
03-20 1546
maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependen
jwttoken自动续约_SpringSecurity Jwt Token 自动刷新的实现
weixin_39954569的博客
12-21 1965
功能需求最近项目中有这么一个功能,用户登录系统后,需要给 用户 颁发一个 token ,后续访问系统的请求都需要带上这个 token ,如果请求没有带上这个 token 或者 token 过期了,那么禁止访问系统。如果用户一直访问系统,那么还需要自动延长 token 的过期间。功能分析1、token 的生成使用现在比较流行的 jwt 来生成。2、token 的自动延长要实现 token 的自动延...
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
一个权限控制系统基于Spring Security实现前后端分离
wdj_yyds的博客
06-28 594
话不多说,进入正题。一个简单的权限控制系统需要考虑的问题如下:1. 引入maven依赖 application.properties配置 2. 建表并生成相应的实体类 SysDept.java 部门相当于用户组,这里简化了一下,用户组没有跟角色管理 SysMenu.java 菜单相当于权限 SysRole.java 注意,不要使用@Data注解,因为@Data包含@ToString注解不要随便打印SysUser,例如:System.out.println(sysUser);
基于Shiro,JWT实现微信小程序登录完整例子
EalenXie的博客
11-30 1903
小程序官方流程图如下,官方地址 : https://developers.weixin.qq.com/miniprogram/dev/framework/open-ability/login.html : 如果此图理解不清楚的地方,也可参看我的博客 : https://www.cnblogs.com/ealenxie/p/9888064.html 本文是对接微信小程序自定义登录的一个完整例子实现...
2万字带你从0到1搭建一套企业级微服务安全框架
梵高
07-25 4357
基于Spring Security、Redis、JWT的企业级微服务安全框架。
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2255
需要捕获SpringSecurity中的异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity中的异常,原因如下:在SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
SpringSecurity(十二)【异常处理
Vinjcent
01-14 245
相比于认证异常,权限异常类就要少了很多,默认提供的权限异常如下。Spring Security 中异常主要分为两大类。其中认证所涉及异常类型比较多,默认提供的异常类型如下。
Jwt在controller进行过期无效验证,以及Security权限验证
weixin_42759398的博客
04-09 410
好的,下面是一个更新后的代码示例,包含了对 JWT 过期、无效以及权限验证的处理。在这个示例中,我们使用了 Spring Security 进行权限验证,同使用 JJWT 库进行 JWT 解析。在这个代码示例中,我们使用 try-catch 块来处理 JWT 解析过程中可能出现的异常,包括过期、无效以及其他异常。在出现异常,我们返回一个包含错误信息的 Response 对象。
学生程序设计能力提升平台源码分析(八)jwt+spring security+filter身份校验与权限控制分析
Nothing_wawa的博客
11-21 499
前言 2021SC@SDUSC 概述 在之前的所有分析中,我们分析了项目的配置和架构情况,并且根据后端的MVC架构,在不同的层级,对spring boot框架本身以及注解的使用方法和内部原理进行了着重分析,希望能加深对spring boot框架机制的理解情况。 在后面的分析里,我们将把分析的重点放在项目所使用的其他技术上,比如jwt,spring security,rabbitmq,nginx等等,重点讲解其内部原理,附带项目配置和使用方法。 在本次的博客里,我们将重点先放在项目的身份校验与权限控
Spring Security使用JWT验证用户的身份和权限
04-07
Spring Security是一个强大的安全框架,它提供了许多功能来保护应用程序。其中一个重要的功能是身份验证和授权。 JSON Web TokenJWT)是一种轻量级的身份验证和授权方案,它使用基于JSON的令牌来传输信息。JWT由三部分组成:头部、载荷和签名。头部包含令牌类型和签名算法,载荷包含用户信息和其他相关数据,签名用于验证令牌的真实性。 Spring Security可以与JWT集成,以验证用户的身份和权限。在使用JWT,用户在登录成功后会收到一个JWT令牌,该令牌包含用户信息和权限。当用户发送请求,令牌将在请求头中传递,Spring Security将使用该令牌来验证用户的身份和权限。 为了实现JWT身份验证和授权,需要完成以下步骤: 1. 配置Spring Security以使用JWT身份验证和授权。 2. 创建一个JWT令牌生成器,用于生成JWT令牌。 3. 创建一个JWT令牌验证器,用于验证JWT令牌。 4. 在登录成功后生成JWT令牌,并将其返回给客户端。 5. 在每个请求中验证JWT令牌,并根据用户权限授予或拒绝访问。 使用JWT身份验证和授权可以提供更安全的应用程序,因为JWT令牌是加密的,只有具有正确密钥的用户才能解密它。此外,JWT令牌是无状态的,这使得它们非常适合分布式应用程序,因为它们可以轻松地在各个服务之间传递。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值