2021-01-18

最新推荐文章于 2023-03-21 09:55:42 发布
最新推荐文章于 2023-03-21 09:55:42 发布
阅读量289 收藏
点赞数
分类专栏: JavaWeb项目学习笔记 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/let4897/article/details/112765430
版权

需求

1、使用用户名和密码进行用户认证,成功返回token

2、拦截请求,验证token,更新token,返回新token

 

实现思路

生成UsernamePasswordAuthenticationToken,并调用AuthenticationManager的authenticate方法验证用户身份

方案一:

编写一个继承AbstractAuthenticationProcessingFilter的filter。首先在ter里实现一个RequestMatcher,指定拦截的url和http方法。然后重写attemptAuthentication方法,提取用户名和密码,实例化一个UsernamePasswordAuthenticationToken实例,以实例作为参数调用AuthenticationManager的authenticate方法,并返回方法调用的结果。

public class MyUsernamePasswordAuthenticationFilter extends AbstractAuthenticationProcessingFilter {
    
    public MyUsernamePasswordAuthenticationFilter() {
         //拦截url为 "/login" 的POST请求
        super(new AntPathRequestMatcher("/login", "POST"));
    }

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response)
            throws AuthenticationException, IOException, ServletException {
        //从json中获取username和password
        String body = StreamUtils.copyToString(request.getInputStream(), Charset.forName("UTF-8"));
        String username = null, password = null;
        if(StringUtils.hasText(body)) {
            JSONObject jsonObj = JSON.parseObject(body);
            username = jsonObj.getString("username");
            password = jsonObj.getString("password");
        }   
        
        if (username == null) 
            username = "";
        if (password == null)
            password = "";
        username = username.trim();
       //封装到token中提交
        UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
                username, password);
        
        return this.getAuthenticationManager().authenticate(authRequest);
    }

}

方案二:

编写一个验证方法,接受参数grant_type和JSONObject。grant_type传入Oauth支持的5类模式名之一,JSONObject传入验证信息。根据grant_type的类型,使用JSONObject生成一个Authentication实现类实例,这里是UsernamePasswordAuthenticationToken。以实例作为参数传入AuthenticationManager的authenticate方法中,返回认证结果。

 

实现UserDetailsService接口

AuthenticationManager的authenticate方法中会遍历执行所有provider的authenticate方法,直到返回结果不为null(为null表示这个provider不适用)。spring security提供了DaoAuthenticationProvider作为默认实现,在这个provider(应该说是所有的provider实现里都调用了UserDetailsService的loadUserByUsername方法,所以需要实现这个接口。

 

认证结果处理:

编写一个类UsernamePasswordProvider继承DaoAuthenticationProvider,重写createSuccessAuthentication。这个方法会在认证通过后调用,在方法里生成token并返回。

public class UsernamePasswordProvider extends DaoAuthenticationProvider {

    final static Integer EXPIRE = 7200;
    final static Integer REFRESH_EXPIRE = 30;
    final String jwtKey;
    final boolean enableExpire;

    public UsernamePasswordProvider(String jwtKey,boolean enableExpire) {
        this.enableExpire = enableExpire;
        this.jwtKey = jwtKey;
    }

    @Override
    protected Authentication createSuccessAuthentication(Object principal, Authentication authentication, UserDetails user) {

        JwtBuilder refreshBuilder = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, Base64Codec.BASE64URL.encode(jwtKey));
                //.compressWith(new GzipCompressionCodec())

        JwtBuilder builder = Jwts.builder()
                .signWith(SignatureAlgorithm.HS256, Base64Codec.BASE64URL.encode(jwtKey));
                //.compressWith(new GzipCompressionCodec())

        if(enableExpire) {
            builder.setExpiration(Date.from(Instant.now().plusSeconds(EXPIRE)));
            refreshBuilder.setExpiration(Date.from(Instant.now().plus(REFRESH_EXPIRE, ChronoUnit.DAYS)));
        }

        refreshBuilder.setSubject(user.getUsername());
        builder.setSubject(user.getUsername());

        for(var authorize: user.getAuthorities()){
            if(GrantedClaim.class.isAssignableFrom(authorize.getClass())){
                GrantedClaim claim = (GrantedClaim)authorize;
                builder.claim(claim.getName(),claim.getValue());
            }
        }


        return AccessToken.builder()
                .accessToken(builder.compact())
                .refreshToken(refreshBuilder.compact())
                .expire(enableExpire?EXPIRE:-1)
//                .authorities(user.getAuthorities())
                .build();
    }
}

携带token的api验证

编写一个JwtTokenFilter继承OncePerRequestFilter,重写doFilterInternal方法,在方法里解析token,如果token有问题,抛出异常,否则生成一个自定义的Authentication对象,将对象存入SecurityContext中。

@Slf4j
@Order(100)
public class JwtTokenFilter extends OncePerRequestFilter {
    final String jwtKey;

    public JwtTokenFilter(String jwtKey) {
        this.jwtKey = jwtKey;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {

        String authorization = request.getHeader("Authorization");

        if (authorization == null || !authorization.startsWith("Bearer ")) {
            chain.doFilter(request, response);
            return;
        }

        String token = authorization.replace("Bearer ", "");

        try {
            var parse = Jwts.parser()
                    .setAllowedClockSkewSeconds(300) //允许5分钟容差
                    .setSigningKey(Base64Codec.BASE64URL.encode(jwtKey))
                    .parseClaimsJws(token);
            Claims claims = parse.getBody();
            String uid = claims.getOrDefault("uid",0).toString();
            String name = claims.getSubject();
            List<String> authorities = (List) claims.get("authority");

            List<Claim> claimList = new ArrayList<>();
            if(authorities != null){
                claimList = authorities.stream()
                        .map(val -> new Claim("uid", uid, val))
                        .collect(Collectors.toList());
            }


            SecurityContextHolder.getContext().setAuthentication(new AuthorizedToken(uid,name, claimList));
            request.setAttribute("X-UID",uid);
            chain.doFilter(request,response);

        }catch (JwtException ex){
            log.warn(ex.getMessage());
            onUnsuccessfulAuthentication(request,response);
        }
    }


    protected void onUnsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response) throws IOException {
        response.sendError(HttpStatus.FORBIDDEN.value());
    }
}

 

配置

编写一个SecurityConfig类,继承WebSecurityConfigurerAdapter,使用@Configuration和@EnableWebSecurity注解。使用@Bean注解标注AuthenticationManager和PasswordEncoder的工厂方法,向容器注入这个类的bean实例。重写configure(AuthenticationManagerBuilder auth)方法,在方法中实例化UsernamePasswordProvider,将它的实例和PasswordEncoder、实现UserDetailsService接口的UserService注入到AuthenticationManagerBuilder中。重写configure(HttpSecurity http)方法,调用HttpSecurity的addFilterBefore方法将JwtTokenFilter注册到UsernamePasswordAuthenticationFilter前。

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${security.jwt.signature}")
    String jwtKey;

    @Value("${security.jwt.expire.enable}")
    boolean jwtExpireEnable;


    @Autowired
    UserDetailsService userService;

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return PasswordEncoderFactories.createDelegatingPasswordEncoder();
    }


    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        //auth.authenticationProvider()
//        auth.inMemoryAuthentication()
//                .passwordEncoder(new BCryptPasswordEncoder())
//                .withUser(User.builder().username("vincent").password(new BCryptPasswordEncoder().encode("1234")).roles("ADMIN"));

        var usernamePasswordProvider = new UsernamePasswordProvider(jwtKey,jwtExpireEnable);
        usernamePasswordProvider.setPasswordEncoder(passwordEncoder());
        usernamePasswordProvider.setUserDetailsService(userService);
        auth.authenticationProvider(usernamePasswordProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.sessionManagement().disable()
                .csrf().disable()
                .cors()
                .and()
                .authorizeRequests()
                .and()
                .addFilterBefore(new JwtTokenFilter(jwtKey), UsernamePasswordAuthenticationFilter.class);
    }


}

 

 

let4897
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
vue的重点4:vue下按下回车键触发事件
小黄呀呀呀的博客
10-12 3393
vue下按下回车键触发事件 方法1: <div id="app"> <input type="text" @keyup.enter="touch"> </div> 方法2: <div id="app"> <input type="text" @keyup.13="touch"> </div> 方法3: <div id="app"> <!-- 自定义按键修饰符 -->
vue 搜索框回车键触发 搜索事件
qq_45083936的博客
03-02 951
<input type="text" class="address" placeholder="请输入门店名称" v-focus v-model ="searchName" /> 界面中需要有一个聚焦 v-focus,在回车时才好执行keypress created () { let that = this; document.onkeypress = function(e) { var keycode = document.all ? event.key
Spring Security 自定义身份认证过滤器
u011618818的博客
06-10 2921
概述 我们可以通过集成AbstractAuthenticationProcessingFilter或者现有的过滤器来完成自定义的身份认证过滤器 身份验证过滤器的主要责任是何时进行身份认证以及如何进行身份认证等 实现案例 以下是实现案例,可根据需求进行拓展和剔除 1. 继承AbstractAuthenticationProcessingFilter public class GetRequestAuthenticationFilter extends AbstractAuthenticationProcess
认证过滤器
Leon_Jinhai_Sun的博客
06-05 2143
认证
Spring Security API: AbstractAuthenticationProcessingFilter
dengdeying的博客
12-22 874
文章目录AbstractAuthenticationProcessingFilterDeclaredClass Jdoc认证过程认证成功认证失败事件发布Session认证Method doFilterDeclaredMethod JdocMethod CodeMethod requiresAuthenticationDeclaredMethod JdocMethod CodeMethod atte...
tampermonkey-backup-chrome-2021-11-27T13-18-01-624Z.zip
11-27
下载后通过Tampermonkey直接导入即可使用。
2021-01-18-23-11-29-download-LeetDown_1.0.3.dmg
09-11
2021-01-18-23-11-29-download-LeetDown_1.0.3
Chipsbank APTool量产工具最新版CBM219X-UMPToolV7200(2021-04-26)
04-27
Chipsbank APTool量产工具最新版CBM219X-UMPToolV7200(2021-04-26)
CBM219X-UMPToolV7200(2021-02-01)
最新发布
06-19
Ver 21.02.01版本 1. 优化了2199E主控对Flash的支持,提升量产容量和稳定性; 2. 软件界面优化; 特别说明: 1. B27A/B27B必须使用2199E专用版本工具量产。 2. N18A/N28A必须使用2199E专用版本工具量产。 2. xT23/xT...
仿金蝶进销存源码20210619更新版,完美运行
05-17
2021-01-18修改了退货库存不能为0问题 2021-01-21修改了资金倒账批量新增到... 2021-01-22修改打开转账单点新增找不... 2021-01-26开放员工客户数据权限 2021-01-26修改记录中供应商和客户显... 2021-01-26修改其它...
springboot中自定义过滤器
clonetx的博客
01-04 1019
过滤器是Servlet的规范,是基于函数回调的,需要实现javax.servlet.Filter接口,依赖于Tomcat等容器,一般用于过滤请求的URL。 1自定义过滤器 自定义filter的实现,本质上只有一种方式,就是实现Filter接口。但是在spring中我们有时候也会通过继承框架提供的XXXFilter,例如OncePerRequestFilterAbstractAuthenticationProcessingFilter(Spring Security使用...
Spring Security 之 AbstractAuthenticationProcessingFilter 源码解析
weixin_38982591的博客
05-27 5556
SpringSecurity对Spring Web项目提供支持,AbstractAuthenticationProcessingFilte 作为验证请求入口的。 AbstractAuthenticationProcessingFilter 继承自 GenericFilterBean,而 GenericFilterBean 是 spring 框架中的过滤器类,实现了接口 javax.servlet.Filter。 public abstract class AbstractAuthentication.
Spring Security小教程 Vol 3. 身份验证的入口-AbstractAuthenticationProcessingFilter
weixin_34352005的博客
03-25 3061
前言 结合上一期我们介绍的AuthenticationManager为入口的身份验证的核心模块,我们这次讨论的是为了使SpringSecurity对Spring Web项目提供支持,作为验证请求入口的。 第三期 Authentication核心简介 本期的任务清单 AbstractAuthenticationProcessingFilter的依赖组件; AbstractAuthenticatio...
vue:添加enter事件,键盘敲下enter事件
热门推荐
呆子小木心的博客
09-24 3万+
vue项目中遇到点击查询按钮可以查出数据,点击回车键也能查出数据,所以就想点击回车键时调用查询方法。 示例代码如下: 一、第一步: 给input按钮绑定@keyup.enter;如果是要对页面的button添加enter键盘事件,就不能写在input或者button上,因为获取不到焦点,这时候可以直接写在created或者mounted里,直接绑定在document上。 <div class="btn"> <!--如果是封装过的按钮,不是原生的按钮,需要加上.native才能生效--&
Spring-Security的自定义过滤器
实践求真知
11-28 1028
一参考文章 http://www.spring4all.com/article/422 二代码位置 https://github.com/cakin24/spring-security-demos/tree/master/02%20-%20%E8%87%AA%E5%AE%9A%E4%B9%89%E7%99%BB%E5%BD%95 三关键代码 1过滤器定义 package co...
Spring Security 认证流程分析,带你Debugger
Java技术攻略的博客
03-21 272
上面说到请求会来到,但是它继承了,所以请求会先进入抽象类中,它是一个Filter,那我们将断点打在 doFilter 方法中。介绍一下 chain 中的属性,originalChain 表示原生的过滤器链,也就是 Web Filter;additionalFilters 表示 Spring Security 中的过滤器链;firewalledRequest 表示当前请求;size 表示过滤器链中过滤器的个数;currentPosition 则是过滤器链遍历时候的下标。
spring security 多认证方式的配置,自定义认证方式
qq_31983635的博客
09-30 2714
背景: 项目中已经有了登录界面,通过账号密码登录的方式登录系统,之前别人搞的, 新需求: 需要与其他系统集成,相当于单点登录,也不需要去认证服务器验证,默认认为他们传过来的就是正确的(话说这样真的挺危险的), 经过讨论,加一点加密措施,使用了 JWT进行加密传输, 所以需要在保留现有登录界面登录方式的基础上, 添加新的登录方式,点击链接直接登录(链接中带上加密后的JWT串) 过程: 接到了需求后,就去网上搜了一遍, 毕竟面向百度编程时代, 看了看怎么集成, 帖子也不少,写的比较好的如下 https:.
Spring Security过滤器就该这么配置
欢迎来到我的博客
02-18 702
CaptchaAuthenticationFilter这个验证码过滤器是通过模仿UsernamePasswordAuthenticationFilter实现的。同样的道理,由于UsernamePasswordAuthenticationFilter的配置是由FormLoginConfigurer来完成的,应该也能模仿一下FormLoginConfigurer,写一个配置类CaptchaAuthenticationFilterConfigurer去配置CaptchaAuthenticationFilter
Spring Security认证流程
DoneSpeak的博客
02-05 872
前言 Spring Seuciry相关的内容看了实在是太多了,但总觉得还是理解地不够巩固,还是需要靠知识输出做巩固。 相关版本: java: jdk 8 spring-boot: 2.1.6.RELEASE 过滤器链和认证过程 一个认证过程,其实就是过滤器链上的一个绿色矩形Filter所要执行的过程。 基本的认证过程有三步骤: Filter拦截请求,生成一个未认证的Authentic...
已知data = [ ('2021-01-01 08:00', 15), ('2021-01-01 12:00', 18), ('2021-01-01 16:00', 20), ('2021-01-02 08:00', 14), ('2021-01-02 12:00', 17), ('2021-01-02 16:00', 19) ]请写出代码对data实现指数平滑
07-12
2021-01-01 12:00:00 18 16.500000 2021-01-01 16:00:00 20 18.250000 2021-01-02 08:00:00 14 16.125000 2021-01-02 12:00:00 17 16.562500 2021-01-02 16:00:00 19 17.781250 ``` 在上述代码中,我们使用`pd....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值