Spring Security调研记录【二】--实现异步Json请求的基本认证与Url权限控制

最新推荐文章于 2024-08-19 23:50:19 发布
最新推荐文章于 2024-08-19 23:50:19 发布
阅读量4.9k 收藏 5
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lld2002/article/details/45973181
版权

在《Spring Security调研记录【一】--实现基本认证与Url权限控制》中,实现的页面的认证与授权(基于Url),但AJAX、Android等的异步Json请求也是非常常用功能。

本文章主要实现异步Json请求的登录、认证与授权

        一、首先明确与本实例相关的Spring  Security对象的作用

        Spring  Security是基于Filter实现,在Servlet前执行,所有一切为执行一系列的Filter。

        1、DelegatingFilterProxy

DelegatingFilterProxy提供一个web.xml与application context的连接,把web.xml请求连接至FilterChainProxy进行处理,FilterChainProxy在Spring Context进行定义,能最大化应用Spring配置优势。

        2、FilterChainProxy

FilterChainProxy中定义一系列按照顺序执行的Filter。具体的Filter请参看Spring Security Reference。与本实例相关的Filter:

UsernamePasswordAuthenticationFilter

RememberMeAuthenticationFilter

AnonymousAuthenticationFilter
ExceptionTranslationFilter

FilterSecurityInterceptor

每个Filter需要关联主要对象为AuthenticationManager、SecurityContextHolder、Authentication、AccessDecisionManager(本例暂不关注)。

3、UsernamePasswordAuthenticationFilter

本Filter仅有于登录。默认绑定登录的url为"/login"(可自定义),则request url为绑定值,才执行本Filter。登录成功则委托AuthenticationSuccessHandler执行,并生成Authentication,保存至SecurityContextHolder.getContext()中,执行后续Filter;如果失败则委托AuthenticationFailureHandler执行,清理session与cache,不执行后续Filter了。

UsernamePasswordAuthenticationFilter继承于AbstractAuthenticationProcessingFilter

        本例自定义一个类RestfulUsernamePasswordAuthenticationFilter继承于AbstractAuthenticationProcessingFilter,实现UsernamePasswordAuthenticationFilter的类似功能,只是提供方便的request url设置和组装新的AuthenticationFailureHandler和AuthenticationSuccessHandler。

4、RememberMeAuthenticationFilter

本Filter紧跟UsernamePasswordAuthenticationFilter,用于进行登录后的基于token的认证,如果认证成功则生成Authentication,保存至SecurityContextHolder.getContext()中。
5、AnonymousAuthenticationFilter

         在UsernamePasswordAuthenticationFilter和RememberMeAuthenticationFilter中都不通过,未生成Authentication,AnonymousAuthenticationFilter则生成一个匿名用户的Authentication,并保存到securityContextHolder.getContext()中,为后续Filter提供Authentication。

6、ExceptionTranslationFilter

本Filter不做任何Authentication和Authorization的工作,只是解析Exception,做出相应的动作。本Filter先执行FilterSecurityInterceptor的过滤,捕捉异常和收集异常,如果为Authentication异常则委托AuthenticationEntryPoint去处理;如果为Authorization异常且用户不是匿名用户,则委托AccessDeniedHandler去处理;如果用户为匿名用户(Anonymous),且异常为Authorization异常,也委托AuthenticationEntryPoint去处理。

7、FilterSecurityInterceptor

        大概是进行Authorization的Filter,待详。

8、AuthenticationManager

顾名思义,AuthenticationManager认证的管理器,提供多个AuthenticationProvider,本例就使用默认的DaoAuthenticationProvider。

        9、AuthenticationEntryPoint

本接口只有一个方法,认证失败后执行。本例就实现该接口,实现认证失败后,返回Json字符串而不是跳转至登录页面。

       10、AccessDeniedHandler

本接口只有一个方法,权限验证失败后执行。本例就实现该接口,实现权限不足时,返回Json字符串而不是返回403错误。

11、AuthenticationFailureHandler

         本接口只有一个方法,登录验证失败后执行。本例就实现该接口,登录验证失败后,返回Json字符串而不是跳整到登录页面。

12、AuthenticationSuccessHandler

    本接口只有一个方法,登录验证成功后执行。本例就实现该接口,登录验证成功后,返回Json字符串而不是整到默认页面或上一页面。

        二、重定义Java对象

         1、重定义登录验证过滤器

<span style="white-space:pre">	</span>public class RestfulUsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	
	public static final String SPRING_SECURITY_RESTFUL_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_RESTFUL_PASSWORD_KEY = "password";
	public static final String SPRING_SECURITY_RESTFUL_LOGIN_URL = "/rest/login";

	private String usernameParameter = SPRING_SECURITY_RESTFUL_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_RESTFUL_PASSWORD_KEY;
	private boolean postOnly = true;

	protected RestfulUsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher(SPRING_SECURITY_RESTFUL_LOGIN_URL, "POST"));
	}

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException,
			IOException, ServletException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}
	
	protected String obtainPassword(HttpServletRequest request) {
		return request.getParameter(passwordParameter);
	}


	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(usernameParameter);
	}

	protected void setDetails(HttpServletRequest request,
			UsernamePasswordAuthenticationToken authRequest) {
		authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
	}

	public String getUsernameParameter() {
		return usernameParameter;
	}

	public void setUsernameParameter(String usernameParameter) {
		this.usernameParameter = usernameParameter;
	}

	public String getPasswordParameter() {
		return passwordParameter;
	}

	public void setPasswordParameter(String passwordParameter) {
		this.passwordParameter = passwordParameter;
	}

	public boolean isPostOnly() {
		return postOnly;
	}

	public void setPostOnly(boolean postOnly) {
		this.postOnly = postOnly;
	}

	public void setLoginUrl(String loginUrl) {
		this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(loginUrl, "POST"));
	}

}


2、重实现AuthenticationSuccessHandler 

<span style="white-space:pre">	</span>public class RestfulAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	private RequestCache requestCache = new HttpSessionRequestCache();
	
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws IOException, ServletException {

		PrintWriter writer;
		String returnStr = "{message:'sucess'}";
		
		response.setStatus(200);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
		requestCache.removeRequest(request, response);
		clearAuthenticationAttributes(request);		
	}
    
	protected final void clearAuthenticationAttributes(HttpServletRequest request) {
		HttpSession session = request.getSession(false);

		if (session == null) {
			return;
		}
		session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
	}
	public void setRequestCache(RequestCache requestCache) {
		this.requestCache = requestCache;
	}
}


3、重实现AuthenticationFailureHandler

<span style="white-space:pre">	</span>public class RestfulAuthenticationFailureHandler implements
		AuthenticationFailureHandler {

	@Override
	public void onAuthenticationFailure(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException exception)
			throws IOException, ServletException {
		PrintWriter writer;
		String returnStr = "{exception:{name:'" + exception.getClass()
				+ "',message:'" + exception.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();

	}

}

4、重实现AuthenticationEntryPoint

<span style="white-space:pre">	</span>public class RestfulAuthenticationEntryPoint implements
		AuthenticationEntryPoint {

	@Override
	public void commence(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException authException)
			throws IOException, ServletException {

		PrintWriter writer;
		String returnStr = "{exception:{name:'" + authException.getClass()
				+ "',message:'" + authException.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
	}

}

5、重实现AccessDeniedHandler

<span style="white-space:pre">	</span>public class RestfulAccessDeniedHandlerImpl implements AccessDeniedHandler {

	@Override
	public void handle(HttpServletRequest request,
			HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException,
			ServletException {
		PrintWriter writer;
		String returnStr = "{exception:{name:'" + accessDeniedException.getClass()
				+ "',message:'" + accessDeniedException.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
	}

}

三、组装重定义的Java对象(在Spring Context中)

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
		   http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
		   http://www.springframework.org/schema/security
		   http://www.springframework.org/schema/security/spring-security.xsd">
	<http pattern="/**/*.css" security="none" />
	<http pattern="/**/*.js" security="none" />
	<http pattern="/security/**/restful" entry-point-ref="restfulAuthenticationEntryPoint"
		authentication-manager-ref="authenticationManager">
		<access-denied-handler ref="restfulAccessDeniedHandlerImpl" />
	    <custom-filter position="FORM_LOGIN_FILTER"
			ref="restfulUsernamePasswordAuthenticationFilter" />
	    <intercept-url pattern="/security/login/restful" access="permitAll()" />
		<intercept-url pattern="/security/getJson/restful" access="hasRole('ADMIN')" />
		<intercept-url pattern="/**" access="hasRole('USER')" />
		<csrf disabled="true" />
	</http>

	<http pattern="/security/**">
		<form-login login-page="/security/login.jsp"
			login-processing-url="/security/login" default-target-url="/security/index"
			always-use-default-target="false" authentication-failure-url="/security/login.jsp?error=wrong_login_data"
			username-parameter="username" password-parameter="password" />
		<logout logout-url="/security/logout" />
		<intercept-url pattern="/security/index" access="permitAll()" />
		<intercept-url pattern="/security/logout" access="permitAll()" />
		<intercept-url pattern="/security/login.jsp" access="permitAll()" />
		
		<csrf />
	</http>

	<global-method-security pre-post-annotations="enabled" />

	<beans:bean name="bcryptEncoder"
		class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

	<authentication-manager alias="authenticationManager">
		<authentication-provider user-service-ref='myUserDetailsService'>
			<password-encoder ref="bcryptEncoder" />
		</authentication-provider>
	</authentication-manager>
	
	<beans:bean id="myUserDetailsService"
		class="com.winssage.spring.security.userdetails.WinssageUserDetailsService">
		<beans:property name="bcryptPasswordEncoder" ref="bcryptEncoder" />
	</beans:bean>
	

	<!-- restful security start -->
 	<beans:bean id="restfulUsernamePasswordAuthenticationFilter"
		class="com.winssage.spring.security.authentication.RestfulUsernamePasswordAuthenticationFilter">
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="authenticationSuccessHandler" ref="restfulAuthenticationSuccessHandler" />
		<beans:property name="authenticationFailureHandler" ref="restfulAuthenticationFailureHandler" />
		<beans:property name="loginUrl" value="/security/login/restful" />
	</beans:bean>

 	<beans:bean id="restfulAuthenticationSuccessHandler"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationSuccessHandler">
	</beans:bean>
	
 	<beans:bean id="restfulAuthenticationFailureHandler"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationFailureHandler">
	</beans:bean>

	<beans:bean id="restfulAuthenticationEntryPoint"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationEntryPoint" />

	<beans:bean id="restfulAccessDeniedHandlerImpl"
		class="com.winssage.spring.security.access.RestfulAccessDeniedHandlerImpl">
	</beans:bean>
	<!-- restful security end -->

</beans:beans>

四、web.xml中启动Spring Security

<span style="white-space:pre">	</span><filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>

	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


五、Maven依赖配置(pom.xml)

<span style="white-space:pre">	</span><properties>
                ...
		<org.springframework-security-version>4.0.1.RELEASE</org.springframework-security-version>	
	</properties>
        <dependencies>
                ...
                <dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>${org.springframework-security-version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${org.springframework-security-version}</version>
		</dependency>

	</dependencies>



lld2002
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springSecurity框架,在界面发送异步请求,没有权限,无法重定向到登录页面/springSecurity异步请求,无法重定向到登录界面---提供源码下载
最新发布
雾林小妖的博客
09-16 14
项目中,使用springSecurity作为我们的权限框架,当用户没有登录或者没有权限、session信息丢失的时候,发送同步请求springSecurity可以自动重定向到login.html。如果在项目中使用异步请求,登录信息失效,无法重定向到login.html界面(尝试了很多方法,最终用最简单方式解决)。
Spring Security异步方法调用认证传递问题
carbuser_xl的博客
07-24 768
Spring Security异步方法调用认证传递问题问题描述解决方案第一种方法第种方法通过设置系统变量的方法本人不会实现,请知道的大牛指教一下,谢谢! 问题描述 Spring支持异步方法调用,若在异步方法中,需要获取之前已经通过的认证信息,不做特殊处理的情况下是无法获取Authentication对象的,比如我下面的代码,因为authentication为null,直接抛出了空指针异常: @S...
Spring Security异步任务
qq_19821527的博客
09-10 285
Spring Security环境中学习@Async注解时,发现登陆后的用户权限不足的问题,特此记录。 1.创建executor @Configuration @EnableAsync(proxyTargetClass = true) @Slf4j public class ExecutorConfig{ private int corePoolSize = 5; private int maxPoolSize = 50; private int queueCapaci
Spring Security之登录跳转
Evan_L的博客
08-19 796
SpringSecurity是如何跳转到登录前的请求的?这个可就涉及到异常处理过滤器和认证过滤器的协同了。感兴趣的,进来看看哦
Spring Security】案例1:实现JSON方式登录
小桶的博客
12-02 887
Spring Security默认只提供表单方式登录,在实际工作中,项目通常使用前后端分离模式,前后端之间使用JSON格式进行数据交互;因此在项目里使用Spring Security,则需要自行实现JSON方式登录。
spring4 执行异步方法
码农鸡窝
03-14 2982
/** 定义异步组件 **/ @Component public class AsyncSearch { Logger logger = LogManager.getLogger(this.getClass()); @Autowired private PayService payService; /** * 要实现异步方法 */ @Async public Li
3. Spring Boot + Spring Security 配置的同步异步请求
天下没有难写的代码
09-27 816
注: 根据判断前端的请求是同步还是异步,进行返回对应的数据 ImoccAuthenticationSuccessHandler.java 表示用户登陆成功的授权请求跳转 package com.imooc.security.browser.authentication; import java.io.IOException; import javax.servlet.ServletExce...
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
该项目是关于如何在Spring Boot应用中集成Spring Security和JWT(JSON Web Tokens)来实现响应式Web(WebFlux)的认证和授权。Spring Boot简化了Java应用的开发,而Spring Security则提供了强大的安全框架,JWT则是...
tut-spring-security-and-angular-js:Spring Security 和 Angular JS
06-14
1. **认证与授权**: Spring Security提供了一套完整的认证和授权机制,包括登录、会话管理、权限控制等功能。它支持多种认证方式,如用户名/密码、OAuth2、OpenID Connect等。 2. **过滤器链**: Spring Security的...
Spring Security进行权限控制
geejkse_seff的博客
08-02 1145
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。springsecurity中在用户同步提交表单时设置了一个隐藏的token,不但会对用户提交的信息进行核实,还会对token进行核实,在异步提交的时候则需要自行在前端加入token提交。在用户提交表单时,不法网站可能窃取用户提交的信息进行提交从而造成安全问题。...
Spring Security使用JSON格式登录
大后生大大大的博客
11-23 2446
JSON格式登录、自定义Filter
实现前后端分离,保障安全性:探索Spring SecurityJSON交互的最佳实践
Reische的博客
11-10 592
我们知道,当用户登录时,用户名或者密码输入错误,我们一般只给一个模糊的提示,即「用户名或者密码输入错误,请重新输入」,而不会给一个明确的诸如“用户名输入错误”或“密码输入错误”这样精确的提示,但是对于很多不懂行的新手小伙伴,他可能就会给一个明确的错误提示,这会给系统带来风险。但是在前后端分离中,这个逻辑明显是有问题的,如果用户没有登录就访问一个需要认证后才能访问的页面,这个时候,我们不应该让用户重定向到登录页面,而是给用户一个尚未登录的提示,前端收到提示之后,再自行决定页面跳转。官方这样做的好处是什么呢?
Spring Security 前后端分离登录,非法请求直接返回 JSON
Python毕设源码程序王哥
04-02 393
上述知识点,囊括了目前互联网企业的主流应用技术以及能让你成为“香饽饽”的高级架构知识,每个笔记里面几乎都带有实战内容。很多人担心学了容易忘,这里教你一个方法,那就是重复学习。打个比方,假如你正在学习 spring 注解,突然发现了一个注解@Aspect,不知道干什么用的,你可能会去查看源码或者通过博客学习,花了半小时终于弄懂了,下次又看到@Aspect 了,你有点郁闷了,上次好像在哪哪哪学习,你快速打开网页花了五分钟又学会了。从半小时和五分钟的对比中可以发现多学一次就离真正掌握知识又近了一步。
Spring Security实现前后端分离Login登录功能,返回JSON提示,核心代码不到100行!
m0_59562547的博客
10-25 1836
#前后端分离登录设计思路和流程图 前后端分离是企业级应用开发的主流,登录功能同样采用前后端分离模式。 用户信息存在数据库中。 Spring Security提供身份认证。 前后端交互通过JSON进行。 登录成功不是页面跳转,而是一段JSON提示。 #第一步:前期准备工作 项目架构: 开发环境Spring-boot 2.5.5 Maven 数据库MySQL8.0+,存放用户、角色、用户角色对照表 持久层Mybatis 数据库及表设计;MAVEN依赖;application.pro...
springSecurity前后端分离项目登陆返回json
qq_36715887的博客
08-08 1032
一、前言 在传统的前后端不分离项目中,根据请求进来的路径,经过业务处理之后,一般是采用ModelView形式返回,或者是直接返回字符串,根据提前编写好的view匹配规则,转发到对应的页面,故而可以说是,有服务端来控制页面的展示。在前后端分离项目中,服务端只需要返回接送数据即可,展示的工作则有前端根据路由去匹配,决定展示的内容,所以,无论是哪种框架,都是只返回json即可。SpringSecurity中直接在配置中将登陆状态的结果封装成json返回。 、在配置中实现json的返回 package c
Spring Security(学习笔记) --Json登录的两种方式!
TONGZHOUGONGDU的博客
04-24 630
Security 改为Json认证的两种方式!
SpringSecurity使用JSON来登录
weixin_41359273的博客
03-20 931
SpringSecurity使用JSON来登录1.pom.xml2.自定义认证过滤器3.security的配置4.controller 1.pom.xml <?xml version="1.0" encoding="UTF-8"?> <project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocati
Spring-Security通过Json web token 进行登录认证
weixin_51722520的博客
10-12 580
JWT
spring-boot-starter-tasks的依赖
05-31
spring-boot-starter-tasks是一个Spring Boot的Starter,它提供了异步执行任务的能力。它的依赖包括core、context和task。具体来说,它依赖的库包括: - spring-boot-starter:Spring Boot核心库。 - spring-boot-...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值