Spring Security调研记录【二】--实现异步Json请求的基本认证与Url权限控制

最新推荐文章于 2024-08-19 23:50:19 发布
最新推荐文章于 2024-08-19 23:50:19 发布
阅读量4.9k 收藏 5
点赞数
分类专栏: Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lld2002/article/details/45973181
版权

在《Spring Security调研记录【一】--实现基本认证与Url权限控制》中,实现的页面的认证与授权(基于Url),但AJAX、Android等的异步Json请求也是非常常用功能。

本文章主要实现异步Json请求的登录、认证与授权

        一、首先明确与本实例相关的Spring  Security对象的作用

        Spring  Security是基于Filter实现,在Servlet前执行,所有一切为执行一系列的Filter。

        1、DelegatingFilterProxy

DelegatingFilterProxy提供一个web.xml与application context的连接,把web.xml请求连接至FilterChainProxy进行处理,FilterChainProxy在Spring Context进行定义,能最大化应用Spring配置优势。

        2、FilterChainProxy

FilterChainProxy中定义一系列按照顺序执行的Filter。具体的Filter请参看Spring Security Reference。与本实例相关的Filter:

UsernamePasswordAuthenticationFilter

RememberMeAuthenticationFilter

AnonymousAuthenticationFilter
ExceptionTranslationFilter

FilterSecurityInterceptor

每个Filter需要关联主要对象为AuthenticationManager、SecurityContextHolder、Authentication、AccessDecisionManager(本例暂不关注)。

3、UsernamePasswordAuthenticationFilter

本Filter仅有于登录。默认绑定登录的url为"/login"(可自定义),则request url为绑定值,才执行本Filter。登录成功则委托AuthenticationSuccessHandler执行,并生成Authentication,保存至SecurityContextHolder.getContext()中,执行后续Filter;如果失败则委托AuthenticationFailureHandler执行,清理session与cache,不执行后续Filter了。

UsernamePasswordAuthenticationFilter继承于AbstractAuthenticationProcessingFilter

        本例自定义一个类RestfulUsernamePasswordAuthenticationFilter继承于AbstractAuthenticationProcessingFilter,实现UsernamePasswordAuthenticationFilter的类似功能,只是提供方便的request url设置和组装新的AuthenticationFailureHandler和AuthenticationSuccessHandler。

4、RememberMeAuthenticationFilter

本Filter紧跟UsernamePasswordAuthenticationFilter,用于进行登录后的基于token的认证,如果认证成功则生成Authentication,保存至SecurityContextHolder.getContext()中。
5、AnonymousAuthenticationFilter

         在UsernamePasswordAuthenticationFilter和RememberMeAuthenticationFilter中都不通过,未生成Authentication,AnonymousAuthenticationFilter则生成一个匿名用户的Authentication,并保存到securityContextHolder.getContext()中,为后续Filter提供Authentication。

6、ExceptionTranslationFilter

本Filter不做任何Authentication和Authorization的工作,只是解析Exception,做出相应的动作。本Filter先执行FilterSecurityInterceptor的过滤,捕捉异常和收集异常,如果为Authentication异常则委托AuthenticationEntryPoint去处理;如果为Authorization异常且用户不是匿名用户,则委托AccessDeniedHandler去处理;如果用户为匿名用户(Anonymous),且异常为Authorization异常,也委托AuthenticationEntryPoint去处理。

7、FilterSecurityInterceptor

        大概是进行Authorization的Filter,待详。

8、AuthenticationManager

顾名思义,AuthenticationManager认证的管理器,提供多个AuthenticationProvider,本例就使用默认的DaoAuthenticationProvider。

        9、AuthenticationEntryPoint

本接口只有一个方法,认证失败后执行。本例就实现该接口,实现认证失败后,返回Json字符串而不是跳转至登录页面。

       10、AccessDeniedHandler

本接口只有一个方法,权限验证失败后执行。本例就实现该接口,实现权限不足时,返回Json字符串而不是返回403错误。

11、AuthenticationFailureHandler

         本接口只有一个方法,登录验证失败后执行。本例就实现该接口,登录验证失败后,返回Json字符串而不是跳整到登录页面。

12、AuthenticationSuccessHandler

    本接口只有一个方法,登录验证成功后执行。本例就实现该接口,登录验证成功后,返回Json字符串而不是整到默认页面或上一页面。

        二、重定义Java对象

         1、重定义登录验证过滤器

<span style="white-space:pre">	</span>public class RestfulUsernamePasswordAuthenticationFilter extends
		AbstractAuthenticationProcessingFilter {
	
	public static final String SPRING_SECURITY_RESTFUL_USERNAME_KEY = "username";
	public static final String SPRING_SECURITY_RESTFUL_PASSWORD_KEY = "password";
	public static final String SPRING_SECURITY_RESTFUL_LOGIN_URL = "/rest/login";

	private String usernameParameter = SPRING_SECURITY_RESTFUL_USERNAME_KEY;
	private String passwordParameter = SPRING_SECURITY_RESTFUL_PASSWORD_KEY;
	private boolean postOnly = true;

	protected RestfulUsernamePasswordAuthenticationFilter() {
		super(new AntPathRequestMatcher(SPRING_SECURITY_RESTFUL_LOGIN_URL, "POST"));
	}

	@Override
	public Authentication attemptAuthentication(HttpServletRequest request,
			HttpServletResponse response) throws AuthenticationException,
			IOException, ServletException {
		if (postOnly && !request.getMethod().equals("POST")) {
			throw new AuthenticationServiceException(
					"Authentication method not supported: " + request.getMethod());
		}

		String username = obtainUsername(request);
		String password = obtainPassword(request);

		if (username == null) {
			username = "";
		}

		if (password == null) {
			password = "";
		}

		username = username.trim();

		UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(
				username, password);

		// Allow subclasses to set the "details" property
		setDetails(request, authRequest);

		return this.getAuthenticationManager().authenticate(authRequest);
	}
	
	protected String obtainPassword(HttpServletRequest request) {
		return request.getParameter(passwordParameter);
	}


	protected String obtainUsername(HttpServletRequest request) {
		return request.getParameter(usernameParameter);
	}

	protected void setDetails(HttpServletRequest request,
			UsernamePasswordAuthenticationToken authRequest) {
		authRequest.setDetails(authenticationDetailsSource.buildDetails(request));
	}

	public String getUsernameParameter() {
		return usernameParameter;
	}

	public void setUsernameParameter(String usernameParameter) {
		this.usernameParameter = usernameParameter;
	}

	public String getPasswordParameter() {
		return passwordParameter;
	}

	public void setPasswordParameter(String passwordParameter) {
		this.passwordParameter = passwordParameter;
	}

	public boolean isPostOnly() {
		return postOnly;
	}

	public void setPostOnly(boolean postOnly) {
		this.postOnly = postOnly;
	}

	public void setLoginUrl(String loginUrl) {
		this.setRequiresAuthenticationRequestMatcher(new AntPathRequestMatcher(loginUrl, "POST"));
	}

}


2、重实现AuthenticationSuccessHandler 

<span style="white-space:pre">	</span>public class RestfulAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

	private RequestCache requestCache = new HttpSessionRequestCache();
	
	@Override
	public void onAuthenticationSuccess(HttpServletRequest request,
			HttpServletResponse response, Authentication authentication)
			throws IOException, ServletException {

		PrintWriter writer;
		String returnStr = "{message:'sucess'}";
		
		response.setStatus(200);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
		requestCache.removeRequest(request, response);
		clearAuthenticationAttributes(request);		
	}
    
	protected final void clearAuthenticationAttributes(HttpServletRequest request) {
		HttpSession session = request.getSession(false);

		if (session == null) {
			return;
		}
		session.removeAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
	}
	public void setRequestCache(RequestCache requestCache) {
		this.requestCache = requestCache;
	}
}


3、重实现AuthenticationFailureHandler

<span style="white-space:pre">	</span>public class RestfulAuthenticationFailureHandler implements
		AuthenticationFailureHandler {

	@Override
	public void onAuthenticationFailure(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException exception)
			throws IOException, ServletException {
		PrintWriter writer;
		String returnStr = "{exception:{name:'" + exception.getClass()
				+ "',message:'" + exception.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();

	}

}

4、重实现AuthenticationEntryPoint

<span style="white-space:pre">	</span>public class RestfulAuthenticationEntryPoint implements
		AuthenticationEntryPoint {

	@Override
	public void commence(HttpServletRequest request,
			HttpServletResponse response, AuthenticationException authException)
			throws IOException, ServletException {

		PrintWriter writer;
		String returnStr = "{exception:{name:'" + authException.getClass()
				+ "',message:'" + authException.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
	}

}

5、重实现AccessDeniedHandler

<span style="white-space:pre">	</span>public class RestfulAccessDeniedHandlerImpl implements AccessDeniedHandler {

	@Override
	public void handle(HttpServletRequest request,
			HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException,
			ServletException {
		PrintWriter writer;
		String returnStr = "{exception:{name:'" + accessDeniedException.getClass()
				+ "',message:'" + accessDeniedException.getMessage() + "'}}";
		System.out.println(this.getClass().toString()+":"+returnStr);
		writer = response.getWriter();
		writer.write(returnStr);
		writer.flush();
		writer.close();
	}

}

三、组装重定义的Java对象(在Spring Context中)

<?xml version="1.0" encoding="UTF-8"?>
<beans:beans xmlns="http://www.springframework.org/schema/security"
	xmlns:beans="http://www.springframework.org/schema/beans" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xsi:schemaLocation="http://www.springframework.org/schema/beans
		   http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
		   http://www.springframework.org/schema/security
		   http://www.springframework.org/schema/security/spring-security.xsd">
	<http pattern="/**/*.css" security="none" />
	<http pattern="/**/*.js" security="none" />
	<http pattern="/security/**/restful" entry-point-ref="restfulAuthenticationEntryPoint"
		authentication-manager-ref="authenticationManager">
		<access-denied-handler ref="restfulAccessDeniedHandlerImpl" />
	    <custom-filter position="FORM_LOGIN_FILTER"
			ref="restfulUsernamePasswordAuthenticationFilter" />
	    <intercept-url pattern="/security/login/restful" access="permitAll()" />
		<intercept-url pattern="/security/getJson/restful" access="hasRole('ADMIN')" />
		<intercept-url pattern="/**" access="hasRole('USER')" />
		<csrf disabled="true" />
	</http>

	<http pattern="/security/**">
		<form-login login-page="/security/login.jsp"
			login-processing-url="/security/login" default-target-url="/security/index"
			always-use-default-target="false" authentication-failure-url="/security/login.jsp?error=wrong_login_data"
			username-parameter="username" password-parameter="password" />
		<logout logout-url="/security/logout" />
		<intercept-url pattern="/security/index" access="permitAll()" />
		<intercept-url pattern="/security/logout" access="permitAll()" />
		<intercept-url pattern="/security/login.jsp" access="permitAll()" />
		
		<csrf />
	</http>

	<global-method-security pre-post-annotations="enabled" />

	<beans:bean name="bcryptEncoder"
		class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

	<authentication-manager alias="authenticationManager">
		<authentication-provider user-service-ref='myUserDetailsService'>
			<password-encoder ref="bcryptEncoder" />
		</authentication-provider>
	</authentication-manager>
	
	<beans:bean id="myUserDetailsService"
		class="com.winssage.spring.security.userdetails.WinssageUserDetailsService">
		<beans:property name="bcryptPasswordEncoder" ref="bcryptEncoder" />
	</beans:bean>
	

	<!-- restful security start -->
 	<beans:bean id="restfulUsernamePasswordAuthenticationFilter"
		class="com.winssage.spring.security.authentication.RestfulUsernamePasswordAuthenticationFilter">
		<beans:property name="authenticationManager" ref="authenticationManager" />
		<beans:property name="authenticationSuccessHandler" ref="restfulAuthenticationSuccessHandler" />
		<beans:property name="authenticationFailureHandler" ref="restfulAuthenticationFailureHandler" />
		<beans:property name="loginUrl" value="/security/login/restful" />
	</beans:bean>

 	<beans:bean id="restfulAuthenticationSuccessHandler"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationSuccessHandler">
	</beans:bean>
	
 	<beans:bean id="restfulAuthenticationFailureHandler"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationFailureHandler">
	</beans:bean>

	<beans:bean id="restfulAuthenticationEntryPoint"
		class="com.winssage.spring.security.authentication.RestfulAuthenticationEntryPoint" />

	<beans:bean id="restfulAccessDeniedHandlerImpl"
		class="com.winssage.spring.security.access.RestfulAccessDeniedHandlerImpl">
	</beans:bean>
	<!-- restful security end -->

</beans:beans>

四、web.xml中启动Spring Security

<span style="white-space:pre">	</span><filter>
		<filter-name>springSecurityFilterChain</filter-name>
		<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
	</filter>

	<filter-mapping>
		<filter-name>springSecurityFilterChain</filter-name>
		<url-pattern>/*</url-pattern>
	</filter-mapping>


五、Maven依赖配置(pom.xml)

<span style="white-space:pre">	</span><properties>
                ...
		<org.springframework-security-version>4.0.1.RELEASE</org.springframework-security-version>	
	</properties>
        <dependencies>
                ...
                <dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-web</artifactId>
			<version>${org.springframework-security-version}</version>
		</dependency>
		<dependency>
			<groupId>org.springframework.security</groupId>
			<artifactId>spring-security-config</artifactId>
			<version>${org.springframework-security-version}</version>
		</dependency>

	</dependencies>



lld2002
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
springSecurity框架,在界面发送异步请求,没有权限,无法重定向到登录页面/springSecurity异步请求,无法重定向到登录界面---提供源码下载
最新发布
雾林小妖的博客
09-16 23
项目中,使用springSecurity作为我们的权限框架,当用户没有登录或者没有权限、session信息丢失的时候,发送同步请求springSecurity可以自动重定向到login.html。如果在项目中使用了异步请求,登录信息失效,无法重定向到login.html界面(尝试了很多方法,最终用最简单方式解决)。
Spring Security异步方法调用认证传递问题
carbuser_xl的博客
07-24 768
Spring Security异步方法调用认证传递问题问题描述解决方案第一种方法第种方法通过设置系统变量的方法本人不会实现,请知道的大牛指教一下,谢谢! 问题描述 Spring支持异步方法调用,若在异步方法中,需要获取之前已经通过的认证信息,不做特殊处理的情况下是无法获取Authentication对象的,比如我下面的代码,因为authentication为null,直接抛出了空指针异常: @S...
Spring Security异步任务
qq_19821527的博客
09-10 285
Spring Security环境中学习@Async注解时,发现登陆后的用户权限不足的问题,特此记录。 1.创建executor @Configuration @EnableAsync(proxyTargetClass = true) @Slf4j public class ExecutorConfig{ private int corePoolSize = 5; private int maxPoolSize = 50; private int queueCapaci
Spring Security之登录跳转
Evan_L的博客
08-19 814
SpringSecurity是如何跳转到登录前的请求的?这个可就涉及到异常处理过滤器和认证过滤器的协同了。感兴趣的,进来看看哦
Spring Security】案例1:实现JSON方式登录
小桶的博客
12-02 891
Spring Security默认只提供表单方式登录,在实际工作中,项目通常使用前后端分离模式,前后端之间使用JSON格式进行数据交互;因此在项目里使用Spring Security,则需要自行实现JSON方式登录。
spring4 执行异步方法
码农鸡窝
03-14 2982
/** 定义异步组件 **/ @Component public class AsyncSearch { Logger logger = LogManager.getLogger(this.getClass()); @Autowired private PayService payService; /** * 要实现异步方法 */ @Async public Li
3. Spring Boot + Spring Security 配置的同步异步请求
天下没有难写的代码
09-27 816
注: 根据判断前端的请求是同步还是异步,进行返回对应的数据 ImoccAuthenticationSuccessHandler.java 表示用户登陆成功的授权请求跳转 package com.imooc.security.browser.authentication; import java.io.IOException; import javax.servlet.ServletExce...
spring-boot-webflux-jjwt:示例Spring Boot和带有Spring Security和JWT的WebFlux(响应式Web),用于令牌认证和授权
01-30
该项目是关于如何在Spring Boot应用中集成Spring Security和JWT(JSON Web Tokens)来实现响应式Web(WebFlux)的认证和授权。Spring Boot简化了Java应用的开发,而Spring Security则提供了强大的安全框架,JWT则是...
tut-spring-security-and-angular-js:Spring Security 和 Angular JS
06-14
1. **认证与授权**: Spring Security提供了一套完整的认证和授权机制,包括登录、会话管理、权限控制等功能。它支持多种认证方式,如用户名/密码、OAuth2、OpenID Connect等。 2. **过滤器链**: Spring Security的...
Spring Security进行权限控制
geejkse_seff的博客
08-02 1146
先自我介绍一下,小编13年上师交大毕业,曾经在小公司待过,去过华为OPPO等大厂,18年进入阿里,直到现在。因此我收集了一份《java开发全套学习资料》送给大家,初衷也很简单,就是希望帮助到想自学又不知道该从何学起的朋友,同时减轻大家的负担。springsecurity中在用户同步提交表单时设置了一个隐藏的token,不但会对用户提交的信息进行核实,还会对token进行核实,在异步提交的时候则需要自行在前端加入token提交。在用户提交表单时,不法网站可能窃取用户提交的信息进行提交从而造成安全问题。...
Spring Security入门6:Spring Security的默认配置
Designer 小郑的技术博客
01-10 1847
Spring Security 是一个强大且灵活的身份验证和授权框架,用于保护 Java Web 应用程序中的资源,它提供了一套丰富的功能,用于处理身份验证、授权、密码编码和会话管理等安全相关的任务。
史上最简单的Spring Security教程(五):成功登录SuccessHandler高级用法
银河架构师的博客
06-25 7999
在了解了如何简单的配置成功登录后调转的页面、如何始终指定系统跳转到某一地址后,我们可能会庆幸,原来如此简单。是的,确实如此简单,Spring Security框架协助我们完成了大部分的工作,而我们只需稍微配置,即可使用。 但是,业务场景,又何尝会如此简单。举个例子,我们在登录某个网站之后,微信、短信、邮箱可能会接受到一条这样的信息/邮件。 还有,比如这样的。 甚至于,我要记录每一次的登录信息到数据库、到日志文件等等,方便后续做审计、分析。 其实,Spring Security框架也...
Spring Security使用JSON格式登录
大后生大大大的博客
11-23 2449
JSON格式登录、自定义Filter
六.SpringSecurity基础-认证授权结果处理
墨家巨子@俏如来
08-27 1501
1.认证结果处理 1.1.认证成功处理 在传统的应用中,认证成功后页面需要跳转到认证成功页面或者跳转到个人中心页,但是在前后端分离的项目通常是使用Ajax请求完成认证,这时候我们需要返回一个JSON结果告知前端认证结果,然后前端自行跳转页面。 要做到上述功能,我们需要自定义认证成功处理器实现AuthenticationSuccessHandler接口复写 onAuthenticationSuccess方法,该方法其中一个参数是Authentication ,他里面封装了认证信息,用户信息UserDetail
UsernamePasswordAuthenticationFilter学习之基础
热门推荐
yecong111的专栏
11-28 2万+
UsernamePasswordAuthenticationFilter是登陆用户密码验证过滤器,它继承了AbstractAuthenticationProcessingFilter过滤器(真正的Filter),是spring security3的第4个过滤器。 UsernamePasswordAuthenticationFilter由于3个表单参数,是我们需要知道的 1、username
五.Spring Security-认证结果处理
qq_32115993的博客
10-22 644
五.认证结果处理 一.认证成功处理 1.1.解决方案 自定义类实现AuthenticationSuccessHandler接口复写 onAuthenticationSuccess方法,该方法其中一个参数是Authentication ,他里面封装了认证信息,用户信息UserDetails等,我们需要在这个方法中使用Response写出json数据即可 1.2.认证成功结果处理 1.定义AuthenticationSuccessHandler 定义类实现AuthenticationSuccessHandler
Spring Security(学习笔记) --Json登录的两种方式!
TONGZHOUGONGDU的博客
04-24 635
Security 改为Json认证的两种方式!
Spring Security】重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
healer_ai的博客
05-24 1224
Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
spring-boot-starter-tasks的依赖
05-31
spring-boot-starter-tasks是一个Spring Boot的Starter,它提供了异步执行任务的能力。它的依赖包括core、context和task。具体来说,它依赖的库包括: - spring-boot-starter:Spring Boot核心库。 - spring-boot-starter-web:Spring Boot Web组件。 - spring-boot-starter-jsonSpring Boot JSON组件。 - spring-boot-starter-logging:Spring Boot日志组件。 - spring-boot-starter-test:Spring Boot测试组件。 - spring-boot-starter-actuator:Spring Boot Actuator组件。 - spring-boot-starter-validation:Spring Boot Validation组件。 - spring-boot-starter-data-jpa:Spring Boot JPA组件。 - spring-boot-starter-data-redis:Spring Boot Redis组件。 - spring-boot-starter-data-elasticsearch:Spring Boot Elasticsearch组件。 - spring-boot-starter-securitySpring Boot Security组件。 注意:具体依赖版本可能因为时间和场景不同而有所不同。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值