Spring boot security jwt 前后台分离与遇到的问题

最新推荐文章于 2024-03-06 08:42:54 发布
最新推荐文章于 2024-03-06 08:42:54 发布
阅读量1.4k 收藏 7
点赞数
分类专栏: Java Spring boot security jwt
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33733799/article/details/87259295
版权

 

 

最近自己在练习spring boot ,发现真的很好用,登陆是必不可少的,自然而然的就用到了security,然后发现了jwt,就试着做了一下,确实是搞出来了,但是遇到了一些问题。

整合Spring boot security jwt我参考的是Spring Boot中使用使用Spring Security和JWT

大家自己去看看,我只是稍作修改,原理流程和配置都是用的这个。

但是文章都有了我为什么还要写这个呢?

因为我发现了bug啊!!!

所以不要点了我的发的文章链接就把我给关了!!!

至少先看完我发现了什么bug!!!

        首先说一下我做的是前后台分离的项目,网上我找了很多的文章,确实是可以达到整合的目的,但是你确定整合了就能用?

        网上的文章大部分都是使用postman工具进行测试是否整合完成,他们确定返回值正常就代表整合完成了,也就是说在理想环境下是没问题的,但是我们在开发的时候不确定的因素太多了,我是实实在在的用项目进行测试。

废话说太多了,我们开始聊bug。

       首先spring boot 我用的2.x版本,在整合完成之后我确实是看到了返回值正常,token什么的都有,但是仅限于登录,之后请求数据就直接报错了,因为我项目都搞好了,所以我就不改回去把报错信息给大家看(其实怕出问题又改出一堆问题):

1.跨域的问题

        这个时候可能大家会问一个问题,登录都成功了怎么会存在跨域的问题?你是没有配置跨域访问吧?mdzz,这都不会?。。。

        首先,跨域访问我确实配置了,跨域配置如下:

       但是为什么会出现跨域不能访问的问题呢?带着问题找答案,网上确实没有什么文章说这个的,那就只能自己找了

       我就观察前台发送的网络请求,发现有一个OPTIONS的请求,请求地址和我需要请求数据的地址是一样的,但是没有我设置的请求头,好像是浏览器自动发送的,返回值是200,但是就是报错,说跨域不能访问,找了一些文章,说是测试服务器是否支持该类型请求。

        那么我明明配置了跨域为什么还是会出测试出我不能跨域呢?来看看我推荐的文章里面写的东西

        我的测试请求中是没有携带token的,也就是说它会被拦截,最后的结果就是用户没有登录,然后就跳到这货写的拦截器里面去了,他的拦截器也是厉害,就写一个跨域头外加一个错误码,我试过这样的配置,直接是不能跨域,看看我上面贴出的跨域配置写了那么多,他就写一个,有什么办法,改喽。

 http.exceptionHandling().authenticationEntryPoint(getEntryPointUnauthorizedHandler()).accessDeniedHandler(getRestAccessDeniedHandler());
//上面这一段是设置两个权限不足的地方

//401错误
class EntryPointUnauthorizedHandler implements AuthenticationEntryPoint {
        @Override
        public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e) {
            jwtAuthenticationTokenFilter.setCorsResponse(request, response);//这个是设置返回头的地方,我单独写到了jwtFilter里面去了,因为还有其他用处
            response.setStatus(401);
        }
    }

//403错误
    class RestAccessDeniedHandler implements AccessDeniedHandler {
        @Override
        public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) {
            jwtAuthenticationTokenFilter.setCorsResponse(request, response);//这个是设置返回头的地方,我单独写到了JwtAuthenticationTokenFilter里面去了,因为还有其他用处
            response.setStatus(403);
        }
    }

//实例化成bean就可以直接用了,不用像他那样还要新建两个类,我写了两个内部类就行了
    @Bean
    public EntryPointUnauthorizedHandler getEntryPointUnauthorizedHandler() {
        return new EntryPointUnauthorizedHandler();
    }

    @Bean
    public RestAccessDeniedHandler getRestAccessDeniedHandler() {
        return new RestAccessDeniedHandler();
    }

JwtAuthenticationTokenFilter中的请求头配置 ,和上面自己之前写的配置同步就行

    public void setCorsResponse(HttpServletRequest request, HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("origin"));//跨域资源请求,*代表任何请求都可以访问
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");//支持的请求方式
        response.setHeader("Access-Control-Max-Age", "3600");//跨域缓存实践,这里设置的是一个小时
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept,authorization");//支持的请求头,* 代表所有
        response.setHeader("Access-Control-Allow-Credentials", "true");
    }

 这一下跨域的问题算是解决了,但是新问题又来了

2.验证不通过

        刚才说到了浏览器高级跨域会发送一个测试请求OPTIONS来测试服务器是否支持跨域,但是这个是不会返回数据的,它只是测试,但是还是被security拦截了,然后用推文里面的方法返回的不是200码,当然我觉得就算用其他的也会有这个问题,毕竟这个请求确实没有通过验证啊,没通过验证我肯定不能给你正确的返回的,不然我还需要验证干嘛。

        这个时候我又上网查了一堆资料,发现没有能解决这个问题的文章,很无奈的又只能自己解决了。

        怎么解决呢,其实很简单,只要让这个请求不参与验证就可以了呗,有了思路又开始查资料,发现可以写一个过滤器,写一个CorsFilter就可以了,话不多说贴代码

package com.zh.lore.list.file.config.app;

import org.springframework.context.annotation.Configuration;

import javax.servlet.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Created by zenghang on 2019/2/12.
 */
//@Configuration
public class CorsFilter implements Filter {

    @Override
    public void init(FilterConfig filterConfig) {

    }

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletResponse res = (HttpServletResponse) response;
        HttpServletRequest req = (HttpServletRequest) request;

        res.setHeader("Access-Control-Allow-Origin", req.getHeader("origin"));
        res.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        res.setHeader("Access-Control-Max-Age", "3600");
        res.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept,authorization");
        res.setHeader("Access-Control-Allow-Credentials", "true");

        //由于使用前后分离的方式,发现每次请求之前都会发送一个OPTIONS来测试服务器是否支持跨域,但是又被security jwt拦截,所以这里发现这个请求之后直接返回
        if (req.getMethod().equals("OPTIONS")) {
            res.setStatus(200);
            return;
        }

        chain.doFilter(req, res);
    }

    @Override
    public void destroy() {

    }
}

        这样写确实可以修复这个bug,但是我这个人太懒,单独为这一个功能写个过滤器太麻烦了吧,而且每个请求都会进入这个过滤器,也有点浪费,所以你们可以看到我上面的@configuration被屏蔽掉了,这个类我也会弃用的。

        我在调试的时候发现请求进来的时候优先进入的不是这个过滤器,而是JwtAuthenticationTokenFilter这个过滤器,同时里面都有一段chain.doFilter(req, res);这个代码,所以我果断的修改JwtAuthenticationTokenFilter,贴出我的JwtAuthenticationTokenFilter:

package com.zh.lore.list.file.config.filter;

import com.zh.lore.list.file.entity.User;
import com.zh.lore.list.file.service.UserService;
import com.zh.lore.list.file.utils.JwtUtil.JwtTokenUtil;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.security.web.authentication.WebAuthenticationDetailsSource;
import org.springframework.stereotype.Component;
import org.springframework.web.filter.OncePerRequestFilter;

import javax.servlet.FilterChain;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * Created by zenghang on 2019/1/17.
 */
@Component
public class JwtAuthenticationTokenFilter extends OncePerRequestFilter {

    private UserService userDetailsService;
    private JwtTokenUtil jwtTokenUtil;

    @Autowired
    public JwtAuthenticationTokenFilter(UserService userDetailsService, JwtTokenUtil jwtTokenUtil) {
        this.userDetailsService = userDetailsService;
        this.jwtTokenUtil = jwtTokenUtil;
    }

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException {
        String authHeader = request.getHeader("Authorization");
        String tokenHead = "Bearer ";
        if (authHeader != null && authHeader.startsWith(tokenHead)) {
            String authToken = authHeader.substring(tokenHead.length());
            String username = jwtTokenUtil.getUsernameFromToken(authToken);
            if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                User userDetails = (User) this.userDetailsService.loadUserByUsername(username);
                if (jwtTokenUtil.validateToken(authToken, userDetails)) {
                    UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());
                    authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            }
        } else {
            setCorsResponse(request, response);

            //由于使用前后分离的方式,发现每次请求之前都会发送一个OPTIONS来测试服务器是否支持跨域,但是又被security jwt拦截,所以这里发现这个请求之后直接返回
            if (request.getMethod().equals("OPTIONS")) {
                response.setStatus(200);
                return;
            }
        }

        chain.doFilter(request, response);
    }

    public void setCorsResponse(HttpServletRequest request, HttpServletResponse response) {
        response.setHeader("Access-Control-Allow-Origin", request.getHeader("origin"));
        response.setHeader("Access-Control-Allow-Methods", "POST, GET, OPTIONS, DELETE");
        response.setHeader("Access-Control-Max-Age", "3600");
        response.setHeader("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept,authorization");
        response.setHeader("Access-Control-Allow-Credentials", "true");
    }

}

       现在一切正常了,但是其实还有一个问题,也是属于跨域的问题,不过按照我上面写的进行修改,这个问题也就不存在了,但是我还是得提一下

3.跨域

       跨域的时候要设置资源请求头,有哪些请求头可以访问,如果有不在设置里面的请求头出现那么这个请求也是不能跨域的,我们这个就有一个authorization这样的请求头,最开始我是没有设置的,也是一直不能跨域访问,在jwt的过滤器中可以看到jwt 的是会获取这个头信息的,也就是说这个头是我们自定义的,需要在跨域中进行配置,当然这只是一个小细节,稍微注意下就行了。

 

 

好了,自此我的问题描述完毕,都看到这里了我想可能会对你有帮助吧,麻烦点个赞再走呗~~~

田八
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security+jwt 实现认证授权
IT_cdc的博客
03-10 5023
目录结构 具体代码 config 配置类 DefaultControllerAdvice.java package com.stu.manage.demo.config; import com.stu.manage.demo.result.Result; import com.stu.manage.demo.result.ResultEnum; import com.stu.manage.demo.result.ResultUtil; import org.springframework.w
k7tm-backend:【基础源码】一个基于Spring Boot 2.1.0,Spring Boot Jpa,JWTSpring Security,Redis,Vue的分离分离的教学管理后台系统
03-23
可期教学管理系统-初步项目简介一个基于Spring Boot 2.1.0,Spring Boot Jpa&MyBatis Plus,JWTSpring Security,Redis,Vue的分离分离的教学管理后台系统开发文档:暂无体验地址:暂无账号密码:暂无项目源码...
SpringBoot+SpringSecurity后端分离+Jwt的权限认证(改造记录)
z_ssyy的博客
05-31 1338
一般来说,我们用SpringSecurity默认的话是后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。但是现在后端分离才是正道,后端分离的话,那就需要将返回的页面换成Json格式交给端处理了。
分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Johnson_7的博客
09-19 4228
分离项目整合spring security,自定义登录验证接口,并解决maximumSessions(1)不生效的问题
Spring Boot + JWT = 安全无忧的RESTful API
最新发布
Innocence_0的博客
03-06 977
JWT(JSON Web Token)是一个开放标准(RFC7519),它定义了一种紧凑且自包含的方式,用于在各方之间作为JSON对象安全地传输信息。这些信息可以被验证和信任,因为它是数字签名的。通过这个简单的例子,我们看到了如何在SpringBoot应用程序中使用JWT进行安全认证。JWT的整合提高了我们API的安全性,同时保持了良好的性能和可扩展性。如果你想要构建一个安全且现代的Web应用程序,那么SpringBootJWT无疑是你的不二之选。
SpringSpringSecurity无法获取当登录用户问题
niuchenliang524的博客
08-03 1万+
问题描述:项目的权限是用SpringSecurity实现的,项目中有个需求,实现需求的逻辑如下: 启动SpringBoot后启动一个线程去监听redis消息队列,对数据进行加工并保存到库里,需要保存创建人(createBy),而创建人正是当登录用户,但一直获取不到当登录用户。 解释如下: 我们将当应用security上下文的所有数据保存在SecurityContextHolder里面,...
登录功能注意的点
qq_45947664的博客
09-20 2088
网站A并不知道该请求其实是由B发起的,所以会根据用户C的Cookie信息以C的权限处理该请求,导致来自网站B的恶意代码被执行。判断每次请求由哪一个用户发出的,不用session,1、因为每次请求都要查询数据库,数据库压力太大,2、如果把session存到cookie中容易被伪造,CSRF攻击(cross-site request forgery)2.在用户信息通过验证后,网站A产生Cookie信息并返回给浏览器,此时用户登录网站A成功,可以正常发送请求到网站A;
基于 SpringBootSpring SecurityJWT后端分离的通用权限管理系统,个人学习,快速搭建模板
06-16
- 后端采用Spring BootSpring Security、Redis & Jwt。 - 权限认证使用Jwt,支持多终端认证系统。 - 支持加载动态权限菜单,多方式轻松权限控制。 - 高效率开发,使用代码生成器可以一键生成后端代码。 ## 功能...
基于SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的后端商城系统源码
05-13
yshop基于当流行技术组合的后端分离商城系统: SpringBoot2+MybatisPlus+SpringSecurity+jwt+redis+Vue的后端分离的商城系统, 包含分类、sku、运费模板、素材库、小程序直播、拼团、砍价、商户管理、 秒杀、...
基于SpringBootSpring SecurityJWT,Vue & Element 的后端分离权限管理系统
10-14
基于SpringBootSpring SecurityJWT,Vue & Element 的后端分离权限管理系统,同时提供了 Vue3 的版本。端采用Vue、Element UI。后端采用Spring BootSpring Security、Redis & Jwt。权限认证使用Jwt,支持...
citrus:基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT分离后台管理系统 ,统一的认证入口、易于扩展的认证与权限校验、细粒度的权限与数据范围设计、动态数据源+多数据源事务
04-09
Citrus: 低代码开发脚手架项目简介基于SpringBoot 2.3.2 + Mybatis-Plus + SpringSecurity + JWT分离后台管理系统端仓库地址:项目特性开箱即用,引入starter依赖后即可启动高效开发,只需要定义实体与库表...
SpringBoot + SpringSecurity+jwt 实现验证 & 过程中直接添加Authentication对象
z69183787的专栏
02-06 2630
1、 如何骗过Spring Security——直接添加Authentication对象 1.需求 在最近的项目中,出现了这样的需求。我需要在后台使用spring security,但是android端显然不能使用像web端登录那样的处理方式,所以如何"骗过"spring security直接在它的认证流程中插入我自己的对象,这成为了我急切的问题。 2.Spring Security的核心组件 SecurityContextHolder SecurityContextHolder用于获取
SpringBoot + SpringSecurity+jwt 实现验证
热门推荐
南归客的博客
09-17 1万+
SpringBoot + SpringSecurity+jwt 实现验证 记录一下使用springSecurity实现jwt的授权方法,这方法可以实现权限的基本认证。当然这个案例还有许多的问题,不过还是先记录一下。其他功能以后在补充。 建议工程创建流程 创建 JwtTokenUtils 创建 jwtAccessDeniedHandler 和 JwtAuthenticationEntryPoint 创建 UserDetailsServiceImpl 创建 JwtAuthenticationFilter
(微服务多模块)Springboot+Security+Redis+JWT 仅需一招
white_mvlog的博客
10-29 3437
小编在开发阶段发现,在现在众多文章中的教程里,虽然有许许多多的Springboot+Security+Redis+JWT,但是那些教程基本的运行环境都在单个项目单个模块中进行开发和测试的,这使得小编在实际的开发过程中,不能Ctrl+C and Ctrl+V直接完全解决这个登录认证的事情。故有这篇文章.....
Spring Boot+Spring Security + JWT + Redis实现登录验证
qq_41158525的博客
07-15 2151
springboot版本:2.4.3 创建项目啥的我就不说了,大家都看这个了,相信创建项目都轻而易举了,直接进入正题; 1:添加JWTSpring Security依赖,多添加一个validation校验和lombok <!-- JWT --> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &
Spring boot Security Druid 监控
A_bad_horse的专栏
04-25 1896
1. Druid 配置属性 Druid数据源(连接池): 类似 c3p0、dbcp 数据源,可设置数据源连接初始化大小、最大连接数、等待时间、最小连接数等; Druid web 监控 filter(WebStatFilter): 统计 web 应用请求中所有的数据库信息,比如 发出的 sql 语句,sql 执行的时间、请求次数、请求的 url 地址、以及seesion 监控、数据库表的访问次数 等等。 Druid 后台管理 Servlet(StatViewServlet): Druid 数据源具有监控
权限管理 springboot集成springSecurity Oauth2 JWT
qq_50909707的博客
10-06 6326
实现SpringSecurity里的UserDetailsService接口的LoadUserByUsername方法便可以实现自定义登录逻辑。以下代码将实现用户名为admin,密码为123的登录。一旦使用了自定义登录逻辑,原本的user和打印的password登录将不再生效。此时,通过admin 123便可登录。对于登出SpringSecurity也提供了一个/logout的接口。
springboot,springsecurity实现OAuth2 + JWT认证以及异常处理
穷水叮咚的博客
07-11 9868
技术框架:springboot+oauth2+springsecurity+mybatis-plus+mysql+redis 主要是为了学习oauth2而写的demo,主要用到了oauth2的password模式 其实用了jwt就不应该用redis,因为jwt是无状态的,但是没办法啊,比如用户退出或者用户修改密码,导致原有的token有效,服务端无法控制这些token,所以就加了redis,只...
多线程异步方法Spring Security框架的SecurityContext无法获取认证信息的原因及解决方案
小蜜蜂1010的博客
11-19 3240
解决异步任务执行时,无法获取Spring Security的安全上下文中的用户身份信息
spring boot security jwt
09-27
Spring Boot SecurityJWT(JSON Web Token)的整合是一种常见的身份验证和授权机制。通过引入Spring SecurityJwt相关依赖,可以轻松地实现基于Token的用户身份验证和授权。 整合Jwt的配置一般包括以下几个方面: 1. 引入Spring Security依赖:<dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-security</artifactId></dependency>。 2. 配置登录拦截器和验证拦截器:可以自定义LoginFilter和AuthenticationFilter来处理登录和验证的逻辑。 3. 自定义异常处理:可以实现RestAuthenticationAccessDeniedHandler和AuthEntryPoint来处理权限不足和令牌失效的情况。 4. 接口鉴权和忽略认证:可以使用Spring Security提供的注解和配置来控制接口的访问权限和忽略认证。 通过整合Spring Boot SecurityJwt,可以实现系统的权限控制,并支持各种粒度的权限控制。同时,Spring Security还提供了丰富的自定义处理器和拦截器等功能,可以灵活地满足不同的业务需求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值