springboot + spring security验证token进行用户认证

已于 2023-05-23 15:49:50 修改
阅读量6.3w 收藏 135
点赞数 33
分类专栏: spring spring boot 文章标签: spring security
于 2018-11-23 15:40:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/menglinjie/article/details/84390503
版权

核心组件

SecurityContextHolder

SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLocal实现的(ThreadLocal相关原理分析),这样就保证了本线程内所有的方法都可以获得SecurityContext对象。

可以通此方法过来获取当前操作用户信息:

SecurityContextHolder.getContext().getAuthentication().getPrincipal();

默认返回的对象是UserDetails实例,其中包含了username,password和权限等信息,当然,我们也可以通过实现这个接口自定义我们自己的UserDetails实例,给我们自己的应用使用,以符合需要的业务逻辑。比如下面只对token进行操作就可以吧token作为属性放入UserDetails实现类中。

Authentication

Authentication是Spring Security方式的认证主体。

<1> Authentication是spring security包中的接口,直接继承自Principal类,而Principal是位于java.security包中的。可以见得,Authentication在spring security中是最高级别的身份/认证的抽象。
<2> 由这个顶级接口,我们可以得到用户拥有的权限信息列表,密码,用户细节信息,用户身份信息,认证信息。
authentication.getPrincipal()返回了一个Object,我们将Principal强转成了Spring Security中最常用的UserDetails,这在Spring Security中非常常见,接口返回Object,使用instanceof判断类型,强转成对应的具体实现类。接口详细解读如下:

  • getAuthorities(),权限信息列表,默认是GrantedAuthority接口的一些实现类,通常是代表权限信息的一系列字符串。
  • getCredentials(),密码信息,用户输入的密码字符串,在认证过后通常会被移除,用于保障安全。
  • getDetails(),细节信息,web应用中的实现接口通常为 WebAuthenticationDetails,它记录了访问者的ip地址和sessionId的值。
  • getPrincipal(),最重要的身份信息,大部分情况下返回的是UserDetails接口的实现类,也是框架中的常用接口之一。

AuthenticationManager

AuthenticationManager(接口)是认证相关的核心接口,也是发起认证的出发点,因为在实际需求中身份认证的方式有多种,一般不使用AuthenticationManager,而是使用AuthenticationManager的实现类ProviderManager ,ProviderManager内部会维护一个List<AuthenticationProvider>列表,存放多种认证方式,实际上这是委托者模式的应用(Delegate)。也就是说,核心的认证入口始终只有一个:AuthenticationManager,不同的认证方式对应不同的AuthenticationProvider。

总结:

SecurityContextHolder:存放身份信息的容器

Authentication:用户信息的抽象

AuthenticationManager:身份认证器

认证流程

1、通过过滤器过滤到用户请求的接口,获取身份信息(假如有多个认证方式会配置provider的顺序)

2、一般将身份信息封装到封装成Authentication下的实现类UsernamePasswordAuthenticationToken中

3、通过AuthenticationManager 身份管理器(通过配置找到对应的provider)负责验证这个UsernamePasswordAuthenticationToken

4、认证成功后(认证逻辑一般在service中),AuthenticationManager身份管理器返回一个被填充满了信息的(包括上面提到的权限信息,身份信息,细节信息,但密码通常会被移除)Authentication实例。

5、SecurityContextHolder安全上下文容器将第2步填充了信息的UsernamePasswordAuthenticationToken,通过SecurityContextHolder.getContext().setAuthentication(…)方法,设置到其中来建立安全上下文(security context)。

结合springboot实现对token验证

1、场景

拦截api/的所有接口进行验证,验证token用户与id用户是否一致,不一致或token过期则没有权限访问

2、实现

1、添加security相关依赖:spring-boot-starter-security   spring-security-oauth2

2、全局配置类,根据不同需求配置不同的过滤器和provider(代码片段)

@Configuration
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {


    @Autowired
    private RedisTemplate redisTemplate;

    @Autowired
    private SecurityOrgPeopleMapper securityOrgPeopleMapper;

    @Autowired
    private ImCheckTokenFactory imCheckTokenFactory;


    // oauth2 server
    
    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        addProvider(auth);
    }

//指定provider
    private void addProvider(AuthenticationManagerBuilder auth) {
            auth.authenticationProvider(imAuthenticationProvider());  
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 请求过滤 对api/对所有接口都验证
        http
                .authorizeRequests()
                    .antMatchers("/api/**").access("@permissionChecker.hasPermission(authentication,request)")
                .anyRequest().authenticated();

        registerFilter(http);
    }

//指定filter过滤器
    private void registerFilter(HttpSecurity http) throws Exception {
                http
                        .addFilterBefore(new ImAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class); 
    }


   private ImAuthenticationProvider imAuthenticationProvider() {
        return new ImAuthenticationProvider(imCheckTokenFactory, securityOrgPeopleMapper);
    }

    
}

过滤器:

public class ImAuthenticationFilter extends GenericFilterBean {

    private AuthenticationManager authenticationManager;

    public ImAuthenticationFilter(AuthenticationManager authenticationManager) {
        this.authenticationManager = authenticationManager;
    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {

        // 其他过滤器已经认证通过了
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication != null && authentication.isAuthenticated()) {
            chain.doFilter(request, response);
            return;
        }
        HttpServletRequest httpRequest = asHttp(request);
        HttpServletResponse httpResponse = asHttp(response);

//获取接口中都用户信息
        String userId = obtainUserId(httpRequest);
        String token = obtainToken(httpRequest);
        String client = obtainClient(httpRequest);

        try {
            checkToken(token);
            imProcessTokenAuthentication(Integer.parseInt(userId), token, client);
            chain.doFilter(request, response);
        } catch (UserAuthenticationException userAuthenticationException) {
            logger.warn(userAuthenticationException.getMessage());
            httpResponse.setStatus(userAuthenticationException.getStatus());
        } catch (AuthenticationException authenticationException) {
            chain.doFilter(request, response);
        }

    }

    private String obtainToken(HttpServletRequest request) {
        String tokenParameter = "F-Session";
        String token = request.getHeader(tokenParameter);
        if (Objects.isNull(token)) {
            token = request.getParameter(tokenParameter);
        }
        return token;
    }

    private String obtainUserId(HttpServletRequest request) {
        String userIdParameter = "userId";
        return request.getParameter(userIdParameter);
    }

    private String obtainClient(HttpServletRequest request) {
        String clientParameter = "client";
        return request.getParameter(clientParameter);
    }

    private HttpServletRequest asHttp(ServletRequest request) {
        return (HttpServletRequest) request;
    }

    private HttpServletResponse asHttp(ServletResponse response) {
        return (HttpServletResponse) response;
    }

    private void checkToken(String token) {
        if (StringUtils.isEmpty(token)) {
            throw new UserAuthenticationException(SecurityHttpServletResponse.TOKEN_INVALID, "authenticate.fail");
        }
    }

    //im//将用户信息封装到ImTokenAuthentication(自定义用户信息类)中
    private void imProcessTokenAuthentication(Integer userId, String token, String client) {

        Authentication resultOfAuthentication = imTryToAuthenticateWithToken(userId, token, client);
        SecurityContextHolder.getContext().setAuthentication(resultOfAuthentication);
    }

    private Authentication imTryToAuthenticateWithToken(Integer userId, String token, String client) {
        ImTokenAuthentication imTokenAuthentication = new ImTokenAuthentication(userId, token, client);
        return tryToAuthenticate(imTokenAuthentication);
    }


    private Authentication tryToAuthenticate(Authentication requestAuthentication) throws AuthenticationException {
//找到配置的authenticationManager实现类provider进行验证返回充满信息的Authentication
        Authentication responseAuthentication = authenticationManager.authenticate(requestAuthentication);
        if (responseAuthentication == null || !responseAuthentication.isAuthenticated()) {
            throw new InternalAuthenticationServiceException("Unable to authenticate for provided credentials");
        }
        logger.debug("User successfully authenticated");
        return responseAuthentication;
    }
}

自定义authentication(一般继承UsernamePasswordAuthenticationToken,此项目是在前任的项目基础上写的)

public class ImTokenAuthentication extends TokenAuthenticationToken {

    private Integer userId;
    private String client;

    public ImTokenAuthentication(Integer userId, String token, String client) {
        super(token);
        this.userId = userId;
        this.client = client;
    }

    public ImTokenAuthentication(Integer userId, String token, String client, SecurityUserDetails details) {
        super(token);
        this.userId = userId;
        this.client = client;
        setDetails(details);
    }

    public Integer getUserId() {
        return userId;
    }

    public String getClient() {
        return client;
    }
}

provider

public class ImAuthenticationProvider implements AuthenticationProvider {

    private SecurityOrgPeopleMapper securityOrgPeopleMapper;//根据项目需求注入

    private ImCheckTokenFactory imCheckTokenFactory;//根据项目需求注入

    public ImAuthenticationProvider(ImCheckTokenFactory imCheckTokenFactory, SecurityOrgPeopleMapper securityOrgPeopleMapper) {
        this.securityOrgPeopleMapper = securityOrgPeopleMapper;
        this.imCheckTokenFactory = imCheckTokenFactory;
    }


    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
//自定义的装载用户信息的类
        ImTokenAuthentication imTokenAuthentication = (ImTokenAuthentication) authentication;
//获取在过滤器中放入authentication的用户信息
        String token = authentication.getPrincipal().toString();
        Integer userId = Integer.parseInt(imTokenAuthentication.getUserId().toString());
        String client = imTokenAuthentication.getClient();

//获取验证token所在的sevice
        ImCheckTokenService imCheckTokenService = imCheckTokenFactory.getService(client);

        if (Objects.isNull(imCheckTokenService)) {
            authentication.setAuthenticated(false);
            throw new UserAuthenticationException(SecurityHttpServletResponse.TOKEN_INVALID, "authenticate.fail");
        }
//验证token逻辑
        Object object = imCheckTokenService.checkToken(userId, token);
        if (Objects.isNull(object)) {
            throw new BadCredentialsException("");
        }

        OrgPeople orgPeople = securityOrgPeopleMapper.getPeopleBySystemUserId(userId);
     
        imTokenAuthentication.setDetails(new SecurityUserDetails((Account) ;
//在servcice中验证不通过就已经抛出异常了,此处正常运行则设置验证通过
        authentication.setAuthenticated(true);
        return authentication;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (ImTokenAuthentication.class.isAssignableFrom(authentication));
    }
}

参考:

spring security架构

https://www.cnblogs.com/shiyu404/p/6530894.html

SpringSecurity核心组件_securitycontextholder.getcontext()_rw-just-go-forward的博客-CSDN博客

官方文档

孟林洁
关注
  • 33
    点赞
  • 135
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 13
    评论
专栏目录
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例中,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例中的用户名称: jake_j,密码:123。用户、角色、及菜单权限都是代码中指定的,未实现查询数据库相关数据。正常开发需要和现有系统数据库结合,这里只是简单说明整体用户认证、授权流程逻辑说明。 仓库地址:https://gitee.com/JakeRhino/spring-security-jwt-demo
springboot+spring security+JWT+mybatisplus
10-08
springboot集成security,做用户验证和权限管理;JWT认证token;利用Aop做操作日志; 用mybatisplus 实现代码自动生成工具类。用swagger实现接口文档
Spring Security的基本概念和用法
m0_51431003的博客
02-29 1143
Spring Security是一个功能强大且可高度自定义的身份验证和访问控制框架。它是为Java应用程序提供全面的安全解决方案,包括身份验证、授权、防止跨站请求伪造(CSRF)等。Spring Security基于Spring框架,可以轻松地与Spring Boot、Spring MVC等其他Spring项目集成。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
03-24
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权。 OAuth2是一个关于授权的开放标准,核心思路是通过各类认证手段(具体什么手段OAuth2不关心)认证用户身份,并颁发token(令牌),使得第三方应用可以使用该令牌在限定时间、限定范围访问指定资源。
springboot在前后端分离项目中,集成springsecurity,集成jwt生成token,实现单点登录
皓君的博客
04-27 664
springboot在前后端分离项目中,集成springsecurity,集成jwt生成token,实现单点登录。
spring-security
migo_的专栏
02-25 557
Spring Security是一个框架,致力于为Java应用程序提供身份验证和授权。像所有Spring项目一样,Spring Security的真正强大之处在于它可以轻松扩展以满足定制需求的能力。Spring SecuritySpring采用 `AOP`思想,基于 `servlet过滤器`实现的安全框架。它提供了完善的认证机制和方法级的授权功能。Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。它是用于保护基于Spring的应用程序的事实上的标准。
Spring Security详解
JAVA_KX的博客
05-15 2万+
AuthenticationManager进行认证时,将该认证管理器中的所有认证提供器遍历一遍,遍历过程中,首先检测认证提供器是否支持认证的票据类型,如果支持,则认证提供器开始进行认证。用于处理基于表单的登录请求,从表单中获取用户名和密码,默认情况下处理来自/login的请求,从表单中获取用户名和密码, 默认使用表单name值为username和password,这两个值可以通过这个过滤器的usernaemparamter个passwordParameter连个参数的值进行修改。
SpringSecurity 微服务权限方案
qq_45834459的博客
11-19 3830
1.什么是微服务 1.1微服务由来: 微服务最早由 Martin Fowler 与 James Lewis 于 2014 年共同提出,微服务架构风格是一种使用一套小服务来开发单个应用的方式途径,每个服务运行在自己的进程中,并使用轻量级机制通信,通常是 HTTP API,这些服务基于业务能力构建,并能够通过自动化部署机制来独立部署,这些服务使用不同的编程语言实现,以及不同数据存储技术,并保持最低限度的集中式管理。 1.2微服务优势: (1)微服务每个模块就相当于一个单独的项目,代码量明显减少,遇到问题也相对来
Spring Security 基本介绍及基础项目搭建
一个菜鸡的博客
05-16 9221
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring Security 重要核心功能。
Spring Security 详解
热门推荐
qq_22075913的博客
06-06 10万+
Spring SecuritySpring家族中的一个安全管理框架。相比与另外一个安全框架Shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用SpringSecurity来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。​ 一般Web应用的需要进行认证和授权。​ 而认证和授权也是SpringSecurity作为安全框架的核心功能。视频地址:​ 我们先要搭建一个简单的SpringBoot工程① 设置父工
UsernamePasswordAuthenticationToken
程序缘
12-29 2万+
UsernamePasswordAuthenticationToken(位于org.springframework.security.authentication包下) 通过类名可以的看出来,用户名密码方式进行认证。就是我们见的最多的认证方式通过用户名密码进行登录。咱们话不多说看看具体实现: public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken { // 序列化id priva
springboot-oauth:Spring boot 2 + Spring security 5 实现 SSO + OAuth认证
05-01
springboot-oauth Spring Boot集成Spring security OAuth2事例 oauth:认证服务器、资源服务器 client-1:资源服务器,与oauth实现SSO client-2:资源服务器,使用RemoteTokenServices进行token验证(无法同时使用SSO和OAuth来保护同一资源) client-3:调用客户端,放开所有访问权限,通过OAuth2RestTemplate调用client-4(client_credentials模式) client-4:资源服务器,自定义ExpressionHandler实现scope匹配,即client的scopes为rea.*,将正常通过hasScopeMatching('read')的鉴权 client-5:资源服务器,使用JWT公钥验证token
spring boot+vue+websocket带token身份认证推送消息实现
06-25
vue前端后端分离spring boot 2.0集成websocket,带身份认证实现消息推送功能
毕业设计基于springboot+vue的智慧小区管理系统源码+数据库+使用文档.zip
最新发布
03-28
毕业设计基于springboot+vue的智慧小区管理系统源码+数据库+使用文档.zip以SpringbootSpringSecurity、redis、elk等多个中间件为载体,做出一个有微信小程序端、web端的小区管理系统。 其中 SpringSecurity结合微信小程序登录作出了定制化 SpringSecurity结合Redis进行token有效期管理 首次加入elk进行日志获取和管理 引用第三方对象存储库来进行音图存储 实现二维码进出验证、停车场闸机计费等功能模拟 利用Apache poi进行excel表格的读写操作,实现数据导入导出处理 基于springboot+vue的智慧小区管理系统源码+数据库(毕业设计).zip基于springboot+vue的智慧小区管理系统源码+数据库(毕业设计).zip基于springboot+vue的智慧小区管理系统源码+数据库(毕业设计).zip基于springboot+vue的智慧小区管理系统源码+数据库(毕业设计).zip基于springboot+vue的智慧小区管理系统源码+数据库(毕业设计).zip基于springboot+vue
spring boot中常用的安全框架 Security框架 利用Security框架实现用户登录验证token用户授权(接口权限控制)
Json的知识梦工厂
07-23 4006
org.springframework.security.crypto.password.PasswordEncoder 接口。
springboot使用maven分模块搭建环境(idea)
孟林洁的博客
07-25 799
一、搭建基本架构 创建聚合父工程 删除多余文件,只留一个pom文件 在父工程下创建子模块 对着父工程右键 - New - Module - &gt; 输入 web 对着父工程右键 - New - Module - &gt; 输入 service ..等 修改pom文件,导入依赖模块jar(不是springboot依赖) repo依赖entity,service依赖dao,con...
Spring Boot(二)配置与使用
孟林洁的博客
07-21 492
一、项目属性配置 注意:在上个项目的基础上进行操作 将application.propertites改为application.yml,yml文件格式更为简单 配置端口、项目前缀路径(注意格式,value前有空格) 新建GirlProperties java文件(属性配置文件,简化配置) package com.mlj.girl; import org.springframewo...
Spring Boot(三) web进阶
孟林洁的博客
07-22 267
一、表单验证@Valid 示例:@Min @Valid标识属性为需要验证的属性,BindingResult打印错误信息 Girl实体类: package com.mlj.girl.domain; import javax.persistence.Entity; import javax.persistence.GeneratedValue; import javax.persistenc...
SpringBoot+SpringSecurity+JWT
09-19
SpringBoot是一个开源的Java开发框架,它简化了Spring应用程序的创建和配置过程。SpringSecuritySpring家族中的一个安全管理框架,用于在Web应用程序中实现认证和授权的功能。JWT是一种用于在客户端和服务器之间传递安全信息的开放标准。在SpringBootSpringSecurity的结合中,可以使用JWT来实现认证和授权的功能。 为了在SpringBoot中使用SpringSecurity和JWT,你需要进行以下几个步骤: 1. 引入相关依赖:在项目的pom.xml文件中添加SpringSecurity和JWT的依赖。 2. 创建一个实现了UserDetailsService接口的类:该类用于加载用户的信息,并将其提供给SpringSecurity进行认证。 3. 创建一个实现了JwtTokenUtil接口的类:该类用于生成和解析JWT Token。 4. 创建一个实现了AuthenticationEntryPoint接口的类:该类用于处理认证失败的情况。 5. 创建一个实现了JwtAuthenticationFilter类:该类用于在每个请求中验证JWT Token,并将用户的信息设置到SpringSecurity的上下文中。 6. 配置SpringSecurity:在SpringBoot的配置文件中配置SpringSecurity的相关属性,例如登录路径、认证路径和权限配置等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 13
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孟林洁

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值