Spring Security 4 Rest API

最新推荐文章于 2024-08-30 05:00:00 发布
最新推荐文章于 2024-08-30 05:00:00 发布
阅读量847 收藏
点赞数
分类专栏: java 文章标签: springboot spring security rest angular-2 spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/holdlg/article/details/53083217
版权

有霾走遍天下,无霾寸步难行

最近在用spring boot 注解方式 实现 rest 风格的 angular 2 API, 有坑,虽记录之,如下:

Spring Security

是spring出的一套集认证与授权一体的库。官方文档大部分都是以网页提交表单的方式说明的。

Spring Security 认证源码

  1. Spring Security 4 认证代码在UsernamePasswordAuthenticationFilter 过滤器中,此过滤器继承AbstractAuthenticationProcessingFilterUsernamePasswordAuthenticationFilter 过滤器官方源码:

package org.springframework.security.web.authentication;
import org.springframework.security.authentication.AuthenticationServiceException;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;
import org.springframework.util.Assert;

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class UsernamePasswordAuthenticationFilter extends
        AbstractAuthenticationProcessingFilter {

    /* 用户名 举个使用栗子:<form><input name="username"></form> */
    public static final String SPRING_SECURITY_FORM_USERNAME_KEY = "username";
    /* 密码 举个使用栗子:<form><input name="password"></form> */
    public static final String SPRING_SECURITY_FORM_PASSWORD_KEY = "password";

    private String usernameParameter = SPRING_SECURITY_FORM_USERNAME_KEY;
    private String passwordParameter = SPRING_SECURITY_FORM_PASSWORD_KEY;
    /* 登录只允许POST提交 */
    private boolean postOnly = true;

    /* 添加 /login 登录访问 */ 
    public UsernamePasswordAuthenticationFilter() {
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    /* 认证用户帐号和密码 */
    public Authentication attemptAuthentication(HttpServletRequest request,
            HttpServletResponse response) throws AuthenticationException {
        if (postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException(
                    "Authentication method not supported: " + request.getMethod());
        }

        String username = obtainUsername(request);
        String password = obtainPassword(request);

        if (username == null) {
            username = "";
        }

        if (password == null) {
            password = "";
        }

        username = username.trim();

        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);

        // Allow subclasses to set the "details" property
        setDetails(request, authRequest);

        return this.getAuthenticationManager().authenticate(authRequest);
    }


    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(passwordParameter);
    }


    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(usernameParameter);
    }


    protected void setDetails(HttpServletRequest request,
            UsernamePasswordAuthenticationToken authRequest) {
        authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
    }


    public void setUsernameParameter(String usernameParameter) {
        Assert.hasText(usernameParameter, "Username parameter must not be empty or null");
        this.usernameParameter = usernameParameter;
    }


    public void setPasswordParameter(String passwordParameter) {
        Assert.hasText(passwordParameter, "Password parameter must not be empty or null");
        this.passwordParameter = passwordParameter;
    }

    public void setPostOnly(boolean postOnly) {
        this.postOnly = postOnly;
    }

    public final String getUsernameParameter() {
        return usernameParameter;
    }

    public final String getPasswordParameter() {
        return passwordParameter;
    }
}
  1. 如果需要自定义认证(本例子不需要重写),需重写UsernamePasswordAuthenticationFilter过滤器,
    并在WebSecurityConfiguration.configure(HttpSecurity http){}方法中添加此过滤器。源码往下看

解决跨域问题,一个CSRF和另一个CORS

  1. CSRF(Cross-Site Request Forgery,跨站点伪造请求)
  2. CORS (Cross Origin Resourse-Sharing, 跨域资源共享)
  3. .csrf().disable() 关闭CSRF
  4. .addFilterBefore(new CORSFilter(), ChannelProcessingFilter.class) 允许跨域请求资源。
  5. .httpBasic()也是要添加的。

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.access.channel.ChannelProcessingFilter;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
public class WebSecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .httpBasic()
                    .and()
                .addFilterBefore(new CORSFilter(), ChannelProcessingFilter.class)
                .addFilterBefore(new MyUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)
                .authorizeRequests()
                    .antMatchers("/cnvd/list/1").authenticated()
                    .anyRequest().permitAll()
                    .and()
                .formLogin()
                    .successHandler(new MyAuthenticationSuccessHandler())
                    .failureHandler(new MyAuthenticationFailureHandler())
                    .and()
                .logout()
                    .permitAll();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user").password("password").roles("USER");
    }
}

CORSFilter过滤器


import javax.servlet.*;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

public class CORSFilter implements Filter {
    @Override
    public void init(FilterConfig filterConfig) throws ServletException {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse response = (HttpServletResponse) res;
        response.setHeader("Access-Control-Allow-Origin", "*");
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Authorization, Content-Type, Accept, x-requested-with, Cache-Control");
        chain.doFilter(request, response);
    }

    @Override
    public void destroy() {

    }
}

认证之后返回JSON数据,而非重定向(Redirect)

  1. 实现AuthenticationSuccessHandlerAuthenticationFailureHandler
  2. WebSecurityConfiguration.configure(HttpSecurity http){}方法中启用。参考:WebSecurityConfiguration

AuthenticationSuccessHandler源码


import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.Authentication;
import org.springframework.security.web.WebAttributes;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.savedrequest.HttpSessionRequestCache;
import org.springframework.security.web.savedrequest.RequestCache;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;


public class MyAuthenticationSuccessHandler implements AuthenticationSuccessHandler{

    private RequestCache requestCache = new HttpSessionRequestCache();

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request,
                                        HttpServletResponse response, Authentication authentication)
            throws IOException, ServletException {

        PrintWriter writer;
        String returnStr = "{\"message\":\"sucess\"}";

        response.setStatus(200);
        writer = response.getWriter();
        writer.write(returnStr);
        writer.flush();
        writer.close();
        requestCache.removeRequest(request, response);
        clearAuthenticationAttributes(request);
    }

    protected final void clearAuthenticationAttributes(HttpServletRequest request) {
        HttpSession session = request.getSession(false);

        if (session == null) {
            return;
        }
        session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
    }
    public void setRequestCache(RequestCache requestCache) {
        this.requestCache = requestCache;
    }
}

AuthenticationFailureHandler源码


import org.springframework.context.annotation.Configuration;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.ExceptionMappingAuthenticationFailureHandler;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;


public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler  {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request,
                                        HttpServletResponse response, AuthenticationException exception)
            throws IOException, ServletException {
        PrintWriter writer;
        String returnStr = "{exception:{name:'" + exception.getClass()
                + "',message:'" + exception.getMessage() + "'}}";
        System.out.println(this.getClass().toString()+":"+returnStr);
        writer = response.getWriter();
        writer.write(returnStr);
        writer.flush();
        writer.close();
    }
}

Spring Security 授权

稍后更新

这里有个结语

白素周期
关注
专栏目录
spring security+jwt 实现 restful api格式.
09-20
本案例采用jpa 持久化,/auth/login 获取token登入信息,把token 前添加Bearer 注意Bearer 后有个空格,放到headers 请求中.可访问其他信息
rest服务_Spring Security开发安全的REST服务视频教程
weixin_39932300的博客
12-06 121
Spring security框架简介 1、简介 一个能够为基于Spring的企业应用系统提供声明式的安全訪问控制解决方式的安全框架(简单说是对访问权限进行控制嘛),应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验证某个用户是否为系统中的合法主体,也就是说用户能否访问该系统。用户认证一般要求用户提...
Spring Security 实战:保护 RESTful API
最新发布
java专栏
08-30 750
嘿,小伙伴们!欢迎来到 Spring Security 的实战之旅!Spring Security 是一个功能强大的安全框架,它可以帮你保护应用程序免受各种攻击。在本篇文章中,我们将手把手教你如何使用 Spring Security 来保护 RESTful API,确保只有经过验证和授权的用户才能访问你的资源。准备好了吗?Let’s go!恭喜你完成了这篇 Spring Security 实战教程!你现在应该知道如何使用 Spring Security 来保护你的 RESTful API 了。
Spring Security开发安全的REST服务-学习笔记(4)
摩羯座de杰杰陆的博客
04-09 3822
Spring Security开发安全的REST服务-学习笔记(4) 欢迎4.2 Spring Security基本原理4.3 自定义用户认证逻辑配置自定义用户认证逻辑1、SecurityConfig部分代码2、编写自定义用户认证的逻辑代码 欢迎 本篇博文仅记录该学习过程。 4.2 Spring Security基本原理 绿色部分: 都是项目中根据实际项目需求会进行添加的。 蓝色部分: Exce...
Spring Security开发安全的REST服务-学习笔记(5)
摩羯座de杰杰陆的博客
04-28 1636
Spring Security开发安全的REST服务-学习笔记(5) 5.1 OAuth简介5.2 SpringSocial简介 5.1 OAuth简介 对于2.同意授权部分,有以下几种授权模式 5.2 SpringSocial简介 授权码模式简介 具体实现类介绍 ...
Spring Security开发安全的REST服务及部署一Hello Spring Security
whaleluo的博客
01-20 816
一导读 Spring Security 从名字就可以知道是一种关于安全的技术 安全是一个很广泛的技术,我们主要聚焦于认证和授权。 认证和授权最终的表现形式就是一个登录的功能 ...
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
"Spring Boot使用JWT和Spring Security保护REST API" Spring Boot中的REST API保护是非常重要的,因为直接暴露API可能会带来很大的风险。因此,本文将介绍使用JWT(Json Web Token)和Spring Security来保护REST ...
test-rest-api:使用 spring-security 测试 Rest API 安全的代码示例
06-08
制作这个小代码示例是为了展示与自制代码相比,使用测试 ReST API(集成测试)是多么简单。 代码示例 你会发现一个愚蠢的 ReST 服务 ( ) 假装创建、获取和破坏一个世界。 这个世界列表存储在 H2 数据库中。 没什么...
demo-security-spring2:java 1.8,带有Spring Boot 2.0 Rest API应用程序的Spring Security
02-04
带有Spring Boot 2.0 Rest API应用程序的Spring Security 开发环境 Java 1.8.0 Spring启动2.0.6 H2 Maven 3.5.4 生成并运行 使用嵌入式数据库H2。 mvn clean package java -jar .\target\demo.jar 测试用户 ...
Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
05-23
新一代基于Spring Boot、Spring Security、Oauth2等实现的权限控制和认证服务、支持第三方oauth授权和获取资源信息功能等;Spring Boot+Spring Security+JWT实现给RestApi增加认证控制
security:Spring Security 开发安全的REST服务 —— JoJozhai
05-13
Spring Security 开发安全的REST服务 视频来源: 视频作者: 章节目录和总结文档 第1章 课程导学 第2章 开始开发 第3章 使用Spring MVC开发RESTful API 3-4 用户创建请求 3-5 修改和删除请求 3-6 服务异常处理 ...
Restful风格服务端应用的Spring Boot + Spring Security配置
06-08
NULL 博文链接:https://357029540.iteye.com/blog/2329730
SpringSecurity 开发安全的RESTful服务(持续更新)
暗余的博客
12-26 2567
导航:SpringSecurity 开发安全的Rest服务一. 初入Restful1.1 本章导航1.2 使用SpringMVC 编写Restful API1.3 REST成熟度模型1.4 常用注解 SpringSecurity 开发安全的Rest服务 一. 初入Restful 1.1 本章导航 使用Spring MVC编写Restful API 使用Spring MVC处理其他web应用常...
使用Spring Security保护REST服务
最佳 Java 编程
05-24 592
总览 最近,我正在一个使用REST服务层与客户端应用程序(GWT应用程序)进行通信的项目中。 因此,我花了很多时间来弄清楚如何使用Spring Security保护REST服务。 本文介绍了我找到的解决方案,并已实现。 我希望此解决方案将对某人有所帮助,并节省大量宝贵的时间。 解决方案 在普通的Web应用程序中,每当访问安全资源时,Spring Security都会检查当前用户的安全上下...
Spring Security OAuth2笔记系列】- 【使用Spring MVC开发RESTful API】 异步处理rest服务
代码有毒的博客
08-14 1019
异步处理rest服务 使用Callable异步处理rest服务 使用DeferredResult异步处理rest服务 异步处理配置 异步处理就是主线程使用委托副线程去处理业务,然后主线程去接纳其他的请求。提高性能 Callable @RestController public class AsyncController { private Logger logger =...
Spring Security实战:构建安全的RESTful API
java专栏
06-29 1540
认证逻辑就像是门卫检查出入证的过程,Spring Security允许我们自定义这个过程。通过实现UserDetailsService接口,我们可以定义自己的用户认证逻辑。@Service@Override// 这里你可以查询数据库,找到对应的用户信息// 假设我们找到了一个用户
Spring Security技术栈学习笔记(二)RESTful API详解
脚踏实地,慢慢来
04-08 7854
RESTful一种软件架构风格、设计风格,而不是标准,只是提供了一组设计原则和约束条件。它主要用于客户端和服务器交互类的软件。基于这个风格设计的软件可以更简洁,更有层次,更易于实现缓存等机制。本篇博客主要讲述使用Spring MVC开发RESTful风格的API。 一、传统APIRESTful API 传统的APIRESTful API如下表所示: 行为 传统A...
Spring Security+Spring Social+SpringBoot集成Restful可配置安全模块及代码生成器
weixin_34029680的博客
01-04 454
简介: 1.本项目主要分为core核心模块,browser浏览器模块,app模块,demo使用restful实例模块及spring-boot-api-project-seed代码生成器模块。 2.本项目主要实现,手机验证码登录功能,图片验证码登录功能,qq,微信社交用户登录功能,controller--mapper层通用crud代码生成功能,swagger-ui文档功能,session集群...
Spring Boot与JWT-Spring Security实现REST API安全防护
"本文主要探讨了如何在Spring Boot应用中使用JWT(Json Web Token)和Spring Security来保护RESTful API,适用于需要理解API安全性的开发者。文中提到了三种常见的鉴权方式,并着重讲解了JWT的工作原理和流程。" 在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值