【Spring Security】安全框架学习(六)

最新推荐文章于 2024-02-18 21:44:31 发布
最新推荐文章于 2024-02-18 21:44:31 发布
阅读量452 收藏 2
点赞数
分类专栏: 后端框架学习 文章标签: spring 安全 学习 Spring Security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38594872/article/details/126566600
版权
2.3.3.4 认证过滤器

我们需要自定义一个过滤器,这个过滤器会去获取请求头中的token,对token进行解析取出其中的userid。

使用userid去redis中获取对应的LoginUser对象。

然后封装Authentication对象存入SecurityContextHolder。

package filter;

import ...

public class JwtAuthenticationTokenFilter extends OncePerRequestFilter
{
    
    @Autowired
	private RedisCache redisCache;
    
	@Override
	protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain
filterChain) throws ServletException, IOException {
		
        //直接放行不等于不设置SecurityContextHolder,不设置SecurityContextHolder就没法通过认证到达Api,会被后面的filter给拦住
        
        //获取请求头中的token
		String token = request.getHeader("token");
		if(!Stringutils.hasText(token)){
            //放行
			filterchain.doFilter(request,response);
            //过滤器中doFilter方法前面的逻辑是请求进来时执行的内容,doFilter后面的逻辑是响应时执行的内容,直接return了,响应时就不会执行后面的内容了
			return;
        }

        //解析token获取userid
		string userId;
		try {
			Claims claims = JwtUtil.parseJWT(token);
			userId = claims.getsubject();       
        } catch(Exception e) {
            e.printStackTrace();
            throw new RuntimeException("token非法");
        }
        
        //通过 userId 从redis中获取用户信息
        String redisKey = "login:"+userId;
        LoginUser loginUser = redisCache.getCacheObject(redisKey);
        if(Object.isNull(loginUser)) {
            throw new RuntimeException("用户未登录");
        }
        
        //如果从redis中获取到loginUser,就存入SecurityContextHolder
        //TODO 获取权限信息封装到Authentication中
        //前面登录时用两参,对认证状态还未确认,之后调用ProviderManager对账号密码进行确认后,返回的那个Authentication是认证的。
       UsernamePasswordAuthenticationToken authenticationToken = new UsernamePasswordAuthenticationToken(loginUser, null, null); //目前没有权限信息,所以为null,后面会加上
       SecurityContextHolder.getContext().setAuthentication(authenticationToken);
        //放行
        filterchain.doFilter(request,response);
    }

}

上面的代码与之前登陆的代码相比较,可以发现为什么之前UsernamePasswordAuthenticationToken存的是username和password,而这里存的是loginUser和null呢?

我们可以分别点进去看看这两个方法虽然名字一样但是传入参数不一样的。一个是已认证的,一个是未认证的,结构不一样;同时,一个是登录,一个是验证两个场景,不能混在一起看。可以这么理解,之前的是登陆时验证,后面的这个是登录后访问验证。

接下来的话我们就需要添加相关过滤器的coonfig配置,由于security提供了这个方法,我们还是和之前一样写在SecurityConfig文件中,通过在 configure 方法内部加上如下代码即可实现。


@Autowired
private JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter



@Overrride
protected void configure(HttpSecurity http) throws Exception {
	
    //之前的代码
    ...
        
    //新增加的过滤器代码,需要传入两个对象,一个文档对象,一个字节码对象(指定添加到哪个过滤器对象之前)
    http.addFilterBefore(jwtAuthenticationTokenFilter,UsernamePasswordAuthenticationFilter.class);
}
悠玄烛远
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity安全框架基础Demo
01-02
综上所述,"SpringSecurity安全框架基础Demo"涵盖了Spring Security的基础概念和关键功能,是学习和实践Spring Security的宝贵资源。通过这个Demo,开发者可以了解如何在实际项目中应用Spring Security,以确保应用...
shiro自定义AuthenticationToken适应多认证条件
浪丶荡
03-06 8750
一般的登陆只需要校验账号和密码两个要素 Subject subject = SecurityUtils.getSubject(); UsernamePasswordToken usernamePasswordToken = new UsernamePasswordToken( user.getAccNum(), user.getPasswd()); ...
章 Realm及相关对象(二) AuthenticationToken
yifanSJ的博客
08-23 7687
AuthenticationToken 用于收集用户提交的身份(如用户名)及凭据(如密码): public interface AuthenticationToken extends Serializable { Object getPrincipal(); //身份 Object getCredentials(); //凭据 } 扩展接口RememberMeAuthenticationT
关于Authentication(认证)和Authorization(授权)及Session、Cookie、Token、JWT的一点总结
weixin_42583145的博客
07-06 2971
1.认证 (Authentication) 和授权 (Authorization)的区别 Authentication(认证) 是验证身份的凭据,如用户名/密码等 Authorization(授权) 在Authentication之后,主要用来授权,特定的人才能访问特定的资源,如有些资源的删除、更新操作只对管理员开放。 一般在系统中结合两者使用,保证系统的安全性。 2.什么是Cookie? Cookies是某些网站为了辨别用户身份而储存在用户本地终端上的数据(通常经过加密)。简单来说: Cookie 存
shiro 之 AuthenticationToken(*)
weixin_42408447的博客
12-21 1704
public interface AuthenticationToken extends Serializable { Object getPrincipal(); Object getCredentials(); } 上面定义了接口源码,主要是两个接口,一个是获取委托人信息,一个是获取证明,常用的是用户名和密码的组合。 这里AuthenticationToken只提供接口,一般我们的实体类包含了get/set方法,但是这里抽出了get方法,方便用户自己扩展所需要的实现。 Authe
请介绍一下token的概念1. 认证令牌(Authentication Token)2. 访问令牌(Access Token)3. 加密令牌(Crypto Token)4. 代码令牌(
最新发布
m0_62574889的博客
02-18 1497
请介绍一下token的概念 1. 认证令牌(Authentication Token) 2. 访问令牌(Access Token) 3. 加密令牌(Crypto Token) 4. 代码令牌(Code Token) 5. 网络令牌(Network Token) 6. 数字货币和区块链中的Token 请介绍一下在大语言模型中token的含义 1. Token的种类 2. Tokenization(分词) 3. 为什么使用Token 4. Token Embeddings 5. 应用
spring security安全框架学习
08-01
在"spring security安全框架学习"这个主题中,我们将深入探讨如何利用Spring Security来实现权限管理和全局管理数据库表结构的设计。 在Spring Security 3版本中,它引入了许多改进和新特性,比如更简洁的配置API,...
spring security安全框架
10-25
Spring Security 是一个强大的且高度可定制的 Java 安全框架,用于解决 Web 应用程序的安全问题。这个框架提供了一套全面的解决方案,包括身份验证、授权、会话管理以及跨站请求伪造(CSRF)防护等核心功能。在本文...
SpringSecurity安全框架企业中应用
06-13
涉及到目前互联网项目中最常用的高并发解决方案技术, 如 dubbo,redis,solr,freemarker,activeMQ,springBoot框架,微信支付,nginx负载均衡,电商活动秒杀,springSecurity安全框架,FastDFS分布式文件服务器,还会涉及到...
安全框架Spring Security深入浅出视频教程
03-23
视频详细讲解,需要的小伙伴自行网盘下载,链接见附件,永久有效。 首先,SSM环境中我们通过xml配置的...Springsecurity在两种不同的开发模式中使用,有经典的独立web后台管理系统,也有时下最流行的前后端分离场景。
一次性弄清楚 Authentication & Authorization以及Cookie、Session、Token
ChaITSimpleLove的博客
10-13 1864
1. 认证 (Authentication) 和授权 (Authorization)的区别是什么? 这是一个绝大多数人都会混淆的问题。首先先从读音上来认识这两个名词,很多人都会把它俩的读音搞混,所以我建议你先先去查一查这两个单词到底该怎么读,他们的具体含义是什么。 说简单点就是: 认证 (Authentication): 你是谁? 授权 (Authorization): 你有权限干什么? 稍微正式点(啰嗦点)的说法就是: Authentication(认证) 是验证您的身份的凭据(例如用户名/用户
springSecurity实现登录验证
剪刀手何金银的技术博客
12-28 4286
文章目录实现AbstractAuthenticationToken自定义验证对象定义登录filter实现AbstractAuthenticationProcessingFilter的attemptAuthentication方法自定义身份验证处理器定义认证成功处理器定义认证失败处理器配置登录过滤器到springSecurity 实现AbstractAuthenticationToken自定义验证对象 在SpringSecurity认证过程中,最核心的对象为Authentication,这个对象用于在认证过
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolder中。SecurityContextHolder默认是使用ThreadLoc...
Spring Security:身份验证令牌Authentication介绍与Debug分析
kaven
01-21 1万+
Spring Security中,通过Authentication来封装用户的验证信息以及用户验证实现,Authentication可以是需要验证和已验证的用户信息封装。接下来,博主介绍Authentication接口及其实现类。 Authentication Authentication接口源码(Authentication接口继承Principal接口,Principal接口表示主体的抽象概念,可用于表示任何实体): package org.springframework.security.core;
UsernamePasswordAuthenticationToken使用
码字不易,大家的支持就是我坚持下去的动力
03-02 1万+
Spring Security 中用于封装用户名密码认证信息的一个类,它实现了接口,用于表示一个认证请求。
Authentication token manipulation error
weixin_47128888的博客
01-18 5万+
问题描述: 登录虚拟机,提示密码已过期,需要更换密码。更换密码失败,报错“Authentication token manipulation error”。我们用另一个账户密码登录上机器,查看问题 可能原因: 1. 根目录空间满了 df命令查看分区使用情况 2. 密码文件(/etc/passwd和/etc/shadow)属性设置为 不可被修改 排查方法:【lsattr /etc/passwd /etc/shadow】 查看存放用户和密码的文件 属性,若有i属性,表明该文件不能被修改:无法被删除或重命名,无
了解认证、授权、凭证、Cookie、Session、Token、JWT
suifeng0614的博客
01-03 1429
了解认证、授权、凭证、Cookie、Session、Token、JWT
passwd:Authentication token问题处理
weixin_33862041的博客
08-09 3317
今天在整理服务器的时候突然有程序员给我说他的ftp的账号连接不上,于是就连上服务器找了一圈都正常啊,奇怪是不是账号密码错了于是就用程序员的账号在自己的电脑上试了下,哎呀我去530Loginincorrect这个错误不是就是账号密码错误嘛,于是也去上网看了下,网上说各种修改ftp的方法,看了下和我的都一样啊没错啊,不管啦就去重置密码结果在用passwd命令的时候报错了p...
40.TokenAuthentication认证
weixin_43247178的博客
10-09 215
TokenAuthentication认证介绍 TokenAuthentication是一种简单的基于令牌的HTTP认证 适用于CS架构,例如普通的桌面应用程序或移动客户端 TokenAuthentication认证使用 # 将rest_framework.authtoken 添加到 INSTALLED_APPS INSTALLED_APPS = ( 'rest_framework.a...
Spring Security3 安全框架中文教程
Spring Security是一个强大的、高度可定制的安全框架,专为Java应用程序设计,尤其在Web应用中广泛使用。Spring Security3作为其旧版本,尽管现在已经被更新的版本取代,但依然具有丰富的功能和广泛的适用性。本学习...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值