2.自定义配置类——SpringSecurity

最新推荐文章于 2024-04-28 16:56:45 发布
最新推荐文章于 2024-04-28 16:56:45 发布
阅读量1.5k 收藏 4
点赞数 1
分类专栏: Spring Security 文章标签: java spring 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lee_92/article/details/126246762
版权

        当前Java Web项目中主流的开发模式是前后端分离的模式,而Spring Security默认的登录是由Security框架提供的页面的表单来输入用户名、密码,且由Security框架自动处理登录流程,不适合我们前后端开发的模式,我们后端需要自己开发相关验证登录流程,我们在开发测试时需要对Security 进行初始配置!         

@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtAuthorizationFilter jwtAuthorizationFilter;
    private static Logger log = LoggerFactory.getLogger(SecurityConfiguration.class);
    public SecurityConfiguration(){
        log.debug("加载Security配置类");
    }
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }
  
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 请求路径白名单
        String[] urls = {
                "/favicon.ico",
                "/doc.html",
                "/**/*.js",
                "/**/*.css",
                "/swagger-resources/**",
                "/v2/api-docs",
                "/product/login"
        };

        http.cors(); // 允许跨域访问,关键点在于允许预检请求
        http.csrf().disable();//禁用防止伪造攻击
        http.authorizeRequests()//要求请求必须被授权
                .antMatchers(urls)//匹配路径
                .permitAll() // 允许访问
                .anyRequest() // 除以上配置以外的请求
                .authenticated();// 经过认证的
        http.addFilterBefore(jwtAuthorizationFilter,
                UsernamePasswordAuthenticationFilter.class);
    }

}


过滤器代码段:
 

@Slf4j
@Component
public class JwtAuthorizationFilter extends OncePerRequestFilter {

    @Value("${csmall.jwt.secret-key}")
    private String secretKey;

    public JwtAuthorizationFilter() {
        log.debug("创建过滤器:JwtAuthorizationFilter");
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request,
                                    HttpServletResponse response,
                                    FilterChain filterChain) throws ServletException, IOException {
        log.debug("执行JwtAuthorizationFilter");

        // 清除Security上下文中的数据
        SecurityContextHolder.clearContext();

        // 从请求头中获取JWT
        String jwt = request.getHeader("Authorization");
        log.debug("从请求头中获取JWT:{}", jwt);

        // 判断JWT数据是否基本有效
        if (!StringUtils.hasText(jwt) || jwt.length() < 80) {
            log.debug("获取到的JWT是无效的,直接放行,交由后续的组件继续处理!");
            // 过滤器链继续执行,相当于:放行
            filterChain.doFilter(request, response);
            // 返回,终止当前方法本次执行
            return;
        }

        // 设置响应结果的文档类型,主要用于处理解析JWT时的异常
        response.setContentType("application/json; charset=utf-8");

        // 尝试解析JWT
        Claims claims = null;
        try {
            claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwt).getBody();
        } catch (MalformedJwtException e) {
            log.warn("解析JWT失败:{}:{}", e.getClass().getName(), e.getMessage());
            JsonResult<Void> jsonResult = JsonResult.fail(
                    ServiceCode.ERR_JWT_PARSE, "无法获取到有效的登录信息,请重新登录!");
            String jsonResultString = JSON.toJSONString(jsonResult);
            PrintWriter writer = response.getWriter();
            writer.println(jsonResultString);
            writer.close();
            return;
        } catch (SignatureException e) {
            log.warn("解析JWT失败:{}:{}", e.getClass().getName(), e.getMessage());
            JsonResult<Void> jsonResult = JsonResult.fail(
                    ServiceCode.ERR_JWT_PARSE, "无法获取到有效的登录信息,请重新登录!");
            String jsonResultString = JSON.toJSONString(jsonResult);
            PrintWriter writer = response.getWriter();
            writer.println(jsonResultString);
            writer.close();
            return;
        } catch (ExpiredJwtException e) {
            log.warn("解析JWT失败:{}:{}", e.getClass().getName(), e.getMessage());
            JsonResult<Void> jsonResult = JsonResult.fail(
                    ServiceCode.ERR_JWT_EXPIRED, "登录信息已过期,请重新登录!");
            String jsonResultString = JSON.toJSONString(jsonResult);
            PrintWriter writer = response.getWriter();
            writer.println(jsonResultString);
            writer.close();
            return;
        } catch (Throwable e) {
            log.warn("解析JWT失败:{}:{}", e.getClass().getName(), e.getMessage());
            JsonResult<Void> jsonResult = JsonResult.fail(
                    ServiceCode.ERR_JWT_PARSE, "无法获取到有效的登录信息,请重新登录!");
            String jsonResultString = JSON.toJSONString(jsonResult);
            PrintWriter writer = response.getWriter();
            writer.println(jsonResultString);
            writer.close();
            return;
        }

        // 从JWT的解析结果中获取数据
        Long id = claims.get("id", Long.class);
        String username = claims.get("username", String.class);
        String authorityListString = claims.get("authorities", String.class);
        log.debug("从JWT中解析得到id:{}", id);
        log.debug("从JWT中解析得到username:{}", username);
        log.debug("从JWT中解析得到authorities:{}", authorityListString);

        // 准备Authentication对象,后续会将此对象封装到Security的上下文中
        LoginPrincipal loginPrincipal = new LoginPrincipal();
        loginPrincipal.setId(id);
        loginPrincipal.setUsername(username);
        List<SimpleGrantedAuthority> authorities = JSON.parseArray(
                authorityListString, SimpleGrantedAuthority.class);
        Authentication authentication = new UsernamePasswordAuthenticationToken(
                loginPrincipal, null, authorities);

        // 将用户信息封装到Security的上下文中
        SecurityContext securityContext = SecurityContextHolder.getContext();
        securityContext.setAuthentication(authentication);
        log.debug("已经向Security的上下文中写入:{}", authentication);

        // 过滤器链继续执行,相当于:放行
        filterChain.doFilter(request, response);
    }

}

我们分代码段来解释其中的含义:

  @Autowired
    private JwtAuthorizationFilter jwtAuthorizationFilter;

        首先我们要自动装配一个JWT的认证过滤器,这个JWT就是Json Web Token,现在比较流行的给客户端做标识的技术,基于token的认证方式相比传统的session认证方式更节约服务器资源,并且对移动端和分布式更加友好。过去我们还需要用专门的服务器存放Session,存储时间也不长久,如果用cookie呢,只能存在客户端本地,无法跨域。Token就很好的结局了这个问题,我们可以理解它为车票,我们服务端是检票口,我们只负责验证票据。
 

 private static Logger log = LoggerFactory.getLogger(SecurityConfiguration.class);
    public SecurityConfiguration(){
        log.debug("加载Security配置类");
    }

        这一段是创建本类的日志对象,并在构造方法中输出,以便于我们在控制台观察程序状态。
 

 @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

         显示配置Bean方法,交由Spring管理这个BCryptPasswordEncoder对象。这个类之前的文章有介绍认证框架SpringSecurity
 

  @Bean
    @Override
    protected AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

        这个是我们继承了 WebSecurityConfigurerAdapter适配器接口之后去重写的认证方法,可以自定义自己的认证方式
 

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // 请求路径白名单
        String[] urls = {
                "/favicon.ico",
                "/doc.html",
                "/**/*.js",
                "/**/*.css",
                "/swagger-resources/**",
                "/v2/api-docs",
                "/product/login"
        };
         http.cors(); // 允许跨域访问,关键点在于允许预检请求
        http.csrf().disable();//禁用防止伪造攻击
        http.authorizeRequests()//要求请求必须被授权
                .antMatchers(urls)//匹配路径
                .permitAll() // 允许访问
                .anyRequest() // 除以上配置以外的请求
                .authenticated();// 经过认证的
        http.addFilterBefore(jwtAuthorizationFilter,
                UsernamePasswordAuthenticationFilter.class);
    }

        这个是我们继承了 WebSecurityConfigurerAdapter适配器接口之后去重写的认证方法,可以自定义自己的认证方式。这里面的具体设置信息为
         http.cors(); // 表示允许跨域访问,关键点在于允许预检请求

解释:前端浏览器往往会发出options请求,会报cors   preflight关键字样的错误,这个就是为了解决跨域问题。
       

        http.csrf().disable();//禁用防止伪造攻击 
解释:跨站请求伪造(英语:Cross-site request forgery),也被称为 one-click attack 或者 session riding,通常缩写为 CSRF 或者 XSRF, 是一种挟制用户在当前已登录的Web应用程序上执行非本意的操作的攻击方法,我们往往在开发中将此验证关闭。

        http.authorizeRequests()//要求请求必须被授权
                .antMatchers(urls)//匹配路径,就是上面数组中的那些地址
                .permitAll() // 允许访问所有
                .anyRequest() // 除以上配置以外的请求
                .authenticated();// 经过认证的
   

http.addFilterBefore(jwtAuthorizationFilter,
                UsernamePasswordAuthenticationFilter.class);

在框架自带的过滤器之前加入我们自己的JWT认证过滤器。

Leon_coding
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring Security 中文教程.pdf
12-06
A.2. 持久登陆(Remember-Me)表 A.3. ACL表 A.3.1. Hypersonic SQL A.3.1.1. PostgreSQL B. 安全命名空间 B.1. Web应用安全 - <http> 元素 B.1.1. <http> 属性 B.1.1.1. servlet-api-provision B....
Spring Security(十一) Spring Security 中 CSRF
热门推荐
奥迪的博客
10-13 1万+
从刚开始学习 Spring Security 时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭 csrf 防护。 1 什么是 CSRF CSRF(Cross-site request forgery)跨站请求伪造,也被称为“OneClick Attack” 或者 Session Riding。通过伪造用户请求访问受信任站点的非法请求访问。 跨域:只要网络协议,ip 地址,端口中任何一个不相同就是跨域请求。 客户
SpringSecurity(十七)------CSRF
Apple_Andy的博客
10-10 1776
一.引入 从刚开始学习Spring Security时,在配置类中一直存在这样一行代码:http.csrf().disable();如果没有这行代码导致用户无法被认证。这行代码的含义是:关闭csrf防护。 二.什么是CSRF CSRF即跨站请求攻击。简单的说,是攻击者通过一些技术手段欺骗用户的浏览器去访问一个自己以前认证过的站点并运行一些操作(如发邮件,发消息,甚至财产操作(如转账和购买商品))。因为浏览器之前认证过,所以被访问的站点会绝点是这是真正的用户操作而去运行. 这就利用了web中用户身份认证验证
【Spring Security+ OAuth2】Spring Security 自定义配置
最新发布
weixin_43676950的博客
04-28 892
实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件。
Spring security CSRF 跨域访问限制问题
HONEY MOOSE
10-18 3181
在我们写 Spring 安全的时候通常有这么一句话: httpSecurity.csrf().disable(). 从这句话的字面意思就很明白就是禁用 csrf,什么是 csrf,为什么要禁用可能就一脸懵逼了。 因为你很有可能会遇到一个错误: HTTP Status 403-Invalid CSRF Token 'null' was found on the request parameter '_csrf' or header 'X-CSRF-TOKEN'. 这个就是做 Web 开发的时
JavaScript中的 CORS问题
LuckXinXin的博客
11-12 1285
CORS 需要浏览器和后端同时支持。IE 8 和 9 需要通过 XDomainRequest 来实现。 浏览器会自动进行 CORS 通信,实现 CORS 通信的关键是后端。只要后端实现了 CORS,就实现了跨域。 服务端设置 Access-Control-Allow-Origin 就可以开启 CORS。 该属性表示哪些域名可以访问资源,如果设置通配符则表示所有网站都可以访问资源。 虽然设置 CORS和前端没什么关系,但是通过这种方式解决跨域问题的话,会在发送请求时出现两种情况,分别为简单请求和复杂请求。 .
6、SpringSecurity环境搭建
qq_40824748的博客
12-20 332
SpringSecurity(安全) 在web开发中、安全第一位!过滤器、拦截器~ 功能需求:否 做网站:安全应该在什么时候考虑? 设计之初! 漏洞、隐私泄露~ 架构一旦确定~ shiro、SpringSecurity:很象~除了类不一样、名字不一样 认证、授权 功能权限 访问权限 菜单权限 ...拦截器、过滤器:大量的原生代码~冗余 MVC-----spring -----spring boot-----框架思想 Aop:横切~配置类~ 简介 Spring Security是针.
Spring Security开启防CSRF解决403 Forbidden问题
weixin_43404791的博客
04-25 3488
这个问题由来已久啊,从前后端交互开始就碰到这个问题,当然这个原因是因为Spring Security在默认情况下开启了防CSRF(跨站点请求伪造) 解决: 1. 关闭CSRF http.csrf().disable().authorizeRequests(); 关闭CSRF过滤器的验证会给网站带来一定被攻击的风险,因此大部分情况下,都不建议关闭这个功能. 2. 开启CSRF...
spring security4登陆例子
02-23
本文将通过一个具体的示例——Spring MVC + Spring Security 4 的整合登录实例来深入探讨Spring Security的使用方法。 #### 二、核心配置类:`SecurityConfig` 在本例中,我们使用的是Java Config的方式进行Spring...
SpringSecurity 3.0.1.RELEASE.CHM
03-21
A.2. 持久登陆(Remember-Me)表 A.3. ACL表 A.3.1. Hypersonic SQL A.3.1.1. PostgreSQL B. 安全命名空间 B.1. Web应用安全 - 元素 B.1.1. 属性 B.1.1.1. servlet-api-provision B.1.1.2. path-type B....
SSH.rar_doc_spring3.2
09-19
描述中的"用轻量级框架整合SSH(Struts2+Spring2[1].5+Spring3.2)实现登录.doc"说明了这个文档内容是关于如何使用这三个框架来构建一个登录功能的教程,特别提到了Spring的两个不同版本——2.1.5和3.2。 SSH是Java ...
v2_20200428.zip
04-28
3. **自动配置**:解析Spring Boot的自动配置机制,如何自定义配置,以及自动配置类的工作原理。 4. **内嵌Web服务器**:讨论Tomcat、Jetty等内嵌Web服务器的使用,以及如何配置服务器端口、静态资源处理等。 5. *...
Spring Security中防护CSRF功能
花&败
07-18 2630
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想:
权限控制-SpringSecurity学习
qingfulang9322的博客
08-21 337
    1.添加依赖 &lt;dependency&gt; &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt; &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt; &lt...
多个WebSecurityJAVA配置导致csrf().disable()配置失效
路过君的博客
09-16 1768
版本 spring-security-oauth2-2.3.8 问题 存在两个继承WebSecurityConfigurerAdapter的WebSecurity JAVA配置文件,一个配置了http.csrf().disable(),一个没有配置,请求仍然报错Invalid CSRF token found 解决 合并WEBSECURITY配置,或两个文件都配置上http.csrf().disable() 分析 Spring源码WebSecurityConfigurerAdapter中http默认配置启用
Spring Security 中的 CSRF 攻击是什么?如何防止它?
u013749113的博客
05-24 1531
CSRF 攻击是一种常见的网络安全威胁,可以通过欺骗用户向目标站点发送恶意请求,从而达到攻击目的。SpringSecurity 提供了多种方式来防范 CSRF 攻击,其中最常用的方式是使用 CSRF Token 和 SameSite Cookie。CSRF Token 可以在每个页面中嵌入一个唯一的 Token 值,然后在用户发送请求时,将这个 Token 值一并发送到服务器端进行验证。
SpringBoot集成SpringSecurity(四)前后端分离、Session会话控制
xinshengdelei的专栏
03-31 2463
前后端分离 主要实现避免后端控制页面跳转,后端通过返回json让前端控制页面跳转。 自定义登录成功Handler 之前代码中通过defaultSuccessUrl("/index")配置当登录成功后默认跳转到/index,不满足彻底的前后端分离。 我们可以用successHandler(myLoginSuccessHandler)添加登录成功处理器,当用户登录成功后处理并返回给前端json对象,因此无需配置defaultSuccessUrl("/index")。 @Configuration p
Spring CSRF防护
YOUTH_TFG的博客
02-16 826
Spring CSRF
security CSRF漏洞保护
程序三两行
08-01 912
跨站请求伪造或者一键式攻击通常缩写为csrf或者xsrf,通过挟持当前浏览器已经登录用户发送恶意请求的攻击烦方法xss利用用户对网站的信任csrf利用网站对用户浏览器的信任举例。
Spring Security 4.2.xml 怎么配置 Spring Security 4.2
05-16
配置 Spring Security 4.2,需要创建一个名为 "spring-security.xml" 的配置文件,并将其放置在 src/main/resources 目录下。下面是一个基本的示例配置文件: ```xml <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:security="http://www.springframework.org/schema/security" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd"> <security:http auto-config="true"> <security:intercept-url pattern="/admin/**" access="ROLE_ADMIN" /> <security:intercept-url pattern="/**" access="IS_AUTHENTICATED_ANONYMOUSLY" /> <security:form-login login-page="/login" default-target-url="/welcome" authentication-failure-url="/login?error" /> <security:logout logout-success-url="/login?logout" /> </security:http> <security:authentication-manager> <security:authentication-provider> <security:user-service> <security:user name="user" password="password" authorities="ROLE_USER" /> <security:user name="admin" password="password" authorities="ROLE_ADMIN" /> </security:user-service> </security:authentication-provider> </security:authentication-manager> </beans> ``` 在上面的配置中,我们定义了一个基本的安全配置。我们定义了一个 HTTP 安全配置,其中包含了拦截 URL 的规则、表单登录页面和注销功能的 URL。我们还定义了一个身份验证管理器和一个身份验证提供程序,其中包含了两个用户的用户名、密码和权限信息。 请注意,这只是一个基本的示例配置文件,您需要根据您的应用程序需求进行修改和调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leon_coding

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值