为什么Spring Security认证中自定义的JWT过滤器对无token的请求要放行呢?

已于 2023-02-26 00:25:05 修改
阅读量995 收藏 2
点赞数
文章标签: spring boot 后端 java spring
于 2023-02-10 20:31:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59483413/article/details/128976513
版权

初学时遇到的问题,如果不放行,我的登录接口都没有办法请求了。

在Spring Security的配置中已经对登录接口设置匿名访问

.antMatchers("/sysUser/login").anonymous()

并且自定义的JWT过滤器也加入到了Spring Security的配置中

 http.addFilterBefore(jwtFilter, UsernamePasswordAuthenticationFilter.class);

本来以为这样登录接口应该就会自动跳过自定义的JWT过滤器,并且我自定义的JWT过滤器可以把其他没有token的请求拦截下来。

但事实是登录接口并没有被跳过,如果我不对无token的请求放行,那我的登录接口也被拦截了。

我不知道这样是不是可以说明自定义的JWT过滤器并不属于Spring Security

Spring Security的配置无法影响自定义的JWT过滤器

自定义的JWT过滤器的只能用来处理有token的情况,而无token的情况得让Spring Security的过滤器自己去处理,我们放行就行了

不知道可不可以这样理解。。。

晓光菌
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity过滤器链,然后在认证流程,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
SpringSecurityJWT实现token认证和授权.zip
08-09
如果验证成功,过滤器会解析JWT,创建一个代表当前用户的Authentication对象,并将其放入Spring SecuritySecurityContextHolder,从而实现对资源的访问控制。 为了控制资源的访问权限,Spring Security提供了一...
SpringSecurity不允许匿名(anonymous)访问Post接口(403)
secretdaixin的博客
02-09 2074
问题1:系统对外暴露接口,接口路径配置了匿名访问(anonymous),Get请求可正常访问,Post请求报错403或直接跳转到登陆页。 问题2:前端传递token调用匿名接口,报错403,不传递token可正常访问。
SpringSecurity系列 - 11 前后端分离表单认证自定义过滤器替换 UsernamePasswordAuthenticationFilter
你今天真好看呀
09-16 2581
SpringSecurity系列一:10 传统Web项目表单认证: UsernamePasswordAuthenticationFilter 过滤器在前后端分离的项目,前端会以 json 格式来传递参数,这就需要我们自定义登录过滤器链来实现。
security整合jwt自定义认证请求接口总是要认证
最新发布
qq_46004130的博客
05-09 209
jwt整合security
SpringBoot-过滤器Filter+JWT令牌实现登录验证
apple_51927114的博客
11-16 857
过滤器Filter+JWT令牌实现登陆验证
SpringBootFilter过滤器结合JWT实现登录验证
mingzq123的博客
04-18 1529
OverrideSystem.out.println("初始化方法");@OverrideSystem.out.println("放行前执行的逻辑");System.out.println("放行后执行的逻辑");@OverrideSystem.out.println("销毁方法执行的逻辑");
jet token过期是定时的还是无操作_JWT在开发的实战操作(附带生产级别代码)...
weixin_39904522的博客
11-21 286
熬夜熬到差不多晚上2点写的,有用的兄弟,必须给我一个关注和大大的赞了!!!!发了上一篇 jwt 相关后 后反响热烈。如果没有来得及去看的话建议先看上一篇。但是也遗留了一些问题。应广大读者的要求。所以从实战角度出发解决这些问题。我们基于 springboot 2.1.6.RELEASE 版本搞一些操作来演示如何在实际开发使用jwt。主要依赖如下通过spring securityjwt 进行结合...
SpringSecurity Jwt Token 自动刷新的实现
08-19
SpringSecurity Jwt Token 自动刷新的实现是指在用户登录系统后,系统颁发给用户一个Token,后续访问系统的请求都需要带上这个Token,如果请求没有带上这个Token或者Token过期了,那么禁止访问系统。如果用户一直...
springSecurity-jwt:JWT access_token和refresh_token
04-10
SpringSecurity-JWT-VERSION2(AccessToken和RefreshToken) version1太复杂,无法优化。accessToken refreshToken流安全登录处理流程详细说明转到博客文章JWT异常处理安全异常处理(AuthenticationEntryPoint,...
spring security 4 小例子带自定义过滤器
03-20
Spring Security 4,我们可以通过自定义过滤器来扩展其功能,以满足特定的安全需求。在这个小例子,我们将探讨如何创建并集成自定义过滤器,以及它在Spring Security的工作原理。 首先,我们需要理解Spring...
JWT整理
qq_44017091的博客
06-25 471
1.标头(header) 2.有效载荷(Payload) 3.签名(signature)header 标头通常是由两部分组成:令牌的类型(jwt)和所使用的签名算法,例如 HMAC SHA256或RSA 它会使用BASE64 编码组成jwt结构的第一部分 // base64是一种编码,可以被翻译回成原来的样子。并不是一种加密过程 { “alg” : “HS256”, “typ”:“JWT” } base64对json数据进行的编码payload –令牌的第二部分是有效负载,其包含声明,声明是有关实体(通常
SpringBoot在使用SecurityJWT时,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3305
springboot的文件上传总结,仅供学习
(六)SpringCloud+Security+Oauth2--自定义注解实现接口权限放行
Instanceztt的博客
12-06 2493
在前面的配置我们在查询用户相关的接口时,由于还没有获得token,就通过permitAll()对/user相关的接口全部放行,那么我们在日常开发会设计到有些接口不需要token也能访问,比如我们在引入swagger后有些接口就不需要相应的token这时候我们可以在配置增加相应配置放开权限,这种针对的是比较固定的一些,那么如何自定义在自己接口随便去加接口权限放行呢实现思路 由此没有token接口也能正常访问了
springboot整合springsecurity框架,代码生成token返回给用户(提供源码)(分布式项目)(五)
一天不写代码难受的博客
10-15 1418
在这个分布式的项目里面,已经集成了生成公钥和私钥的代码。之前我们利用springsecurity框架进行验证,认证和检验都是springsecurity框架自己做的,我们只需要简单的配置就可以实现功能。但是之前的项目是集成项目,只是在一个服务器上面,现在是分布式的项目,需要很多的服务器,项目分为很多的模块,不同的模块是在不同 的服务器上面。 所以我们不能使用springsecurity框架自己的认证规则了,我们需要修改,springsecurity框架底层是过滤器,所以我们要重写人间的过滤器,写自己的认证
SpringSecurity 自定义JwtAuthorFilter基于JWTToken验证
qq_31142237的博客
09-15 5129
根据上篇的实现思想,现在我们正式实现下内容。 需要实现的内容(基于之前的实现SpringSecurity 架子): 1. 修改 JwtAuthenticationSuccessHandler ,需要将上下文信息存入redis: 因为验证环节需要实现从redis获取上下文,设置为SecurityContextHolder。 2. 自定义实现JwtAuthorFilter,拦截所有请求,对token进行验证,验证内容:是否携带token,是 否有效等(根据需求实现):进行toke...
java使用jwt进行token验证,并实现注解方式放行token
热门推荐
java小白白之没有最白的博客
02-24 3万+
有人说用security比较好,不用自己写,但是说实话,我用不好,乱七八糟的配置太多了,而且自己不好控制,或者说是我自己运用的不熟练,所以我喜欢什么东西都自己写,不说多好,但是自由,自己想咋玩就咋玩。 不想读的,直接复制粘贴就行了,注意括号里的东西,自己修改一下; 话不多说,首先jwt工具类 import java.util.Date; import java.util.HashMap; import java.util.Map; import com.auth0.jwt.JWT; import com
Node--JWT-拦截器-服务部署
Locker的博客
10-07 351
基于cookie-session方式 客户端使用账号密码登录 服务端对账号密码进行验证并生成session对象 之后服务端将sessionid返回 客户端在浏览器端保存sessionid在之后客户端发送请求时会带上sessionid到服务器 最后服务端接收到sessionid后会与之前保存的进行对比以确认用户身份 基于jwt方式(json-web-token) 1、客户端用户使用账号密码登录 2、服务端进行验证并生成jwt(需要自己设置密钥,服务端根据密钥生成的jwt) 3、服务端将jwt返回 4、客
jwt令牌实现接口保护
m0_52889702的博客
06-08 651
登录成功后,将用jwt生成的token返回给前端,可以存放在localstore后端不保留身份信息(服务器即使重启也不影响,一但颁发,不可收回)。前端拿着token后端确认身份 (会检验出来token是否修改),访问一些受保护的接口时,在headher携带token 进行身份验证。用进行加密算法校验去代替频繁的查询数据库 token分为三部分 Header :一般存放加密使用的算法(可以不特殊指明) Payload:存放返回来的信息 如user的身份信息 可以被解密 不能存放敏感信息 Signatu
效验tokenspringsecurity哪个过滤器
04-03
Spring Security,验证token通常在JwtAuthenticationFilter过滤器进行。该过滤器主要负责从请求提取JWT令牌,并使用JWT令牌验证用户身份。如果JWT令牌有效,则Spring Security会将用户信息存储在...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值