SpringSecurity登录使用JSON格式数据

最新推荐文章于 2024-04-24 15:02:46 发布
最新推荐文章于 2024-04-24 15:02:46 发布
阅读量1.5k 收藏 4
点赞数
分类专栏: 个人笔记 文章标签: spring
原文链接:https://www.jianshu.com/p/693914564406
版权

SpringSecurity登录使用JSON格式数据

作者:zerouwar

出处:https://www.jianshu.com/p/693914564406

1. 前言

最近在自己鼓捣Spring Security,在用 postman 测试登录接口的时候,发现如果 username、password是以 Json 格式传输的话,是没有办法正常登录的。查阅了资料才知道,Spring Security默认居然不能获取request中的Json数据,但在前后端分离的大潮流下,数据交互使用 Json 格式已经成为了一个很普遍的事情,那么就有必要来自己改造一下了。

2. 准备工作

基本的spring security配置就不说了,网上一堆例子,只要弄到普通的表单登录和自定义 UserDetailsService 就可以。因为需要重写 Filter,所以需要对 Spring Security 的工作流程有一定的了解,这里简单说一下 Spring Security 的原理。

2.1 Spring Security 权限认证流程图

Spring Security 权限认证流程图

2.2 分模块进行解析

  • UsernamePasswordAuthenticationFilter :实现Filter接口,负责拦截登录处理的url,帐号和密码会在这里获取,然后封装成Authentication交给AuthenticationManager进行认证工作;
  • Authentication :贯穿整个认证过程,封装了认证的用户名,密码和权限角色等信息,接口有一个boolean isAuthenticated()方法来决定该Authentication认证成功没;
  • AuthenticationManager :认证管理器,但本身并不做认证工作,只是做个管理者的角色。例如默认实现ProviderManager会持有一个AuthenticationProvider数组,把认证工作交给这些AuthenticationProvider,直到有一个AuthenticationProvider完成了认证工作;
  • AuthenticationProvider :认证提供者,默认实现,也是最常使用的是DaoAuthenticationProvider。我们在配置时一般重写一个UserDetailsService来从数据库获取正确的用户名密码,其实就是配置了DaoAuthenticationProviderUserDetailsService属性,DaoAuthenticationProvider会做帐号和密码的比对,如果正常就返回给AuthenticationManager一个验证成功的Authentication

2.3 UsernamePasswordAuthenticationFilter 源代码

UsernamePasswordAuthenticationFilter源码里的 obtainUsername 和 obtainPassword 方法只是简单地调用 request.getParameter 方法,因此如果用json发送用户名和密码会导致DaoAuthenticationProvider检查密码时为空,抛出BadCredentialsException

	public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
        if (this.postOnly && !request.getMethod().equals("POST")) {
            throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());
        } else {
            String username = this.obtainUsername(request);
            String password = this.obtainPassword(request);
            if (username == null) {
                username = "";
            }

            if (password == null) {
                password = "";
            }

            username = username.trim();
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);
            this.setDetails(request, authRequest);
            return this.getAuthenticationManager().authenticate(authRequest);
        }
    }
	/**
     * Enables subclasses to override the composition of the password, such as by
     * including additional values and a separator.
     * <p>
     * This might be used for example if a postcode/zipcode was required in addition to
     * the password. A delimiter such as a pipe (|) should be used to separate the
     * password and extended value(s). The <code>AuthenticationDao</code> will need to
     * generate the expected password in a corresponding manner.
     * </p>
     *
     * @param request so that request attributes can be retrieved
     *
     * @return the password that will be presented in the <code>Authentication</code>
     * request token to the <code>AuthenticationManager</code>
     */
    protected String obtainPassword(HttpServletRequest request) {
        return request.getParameter(passwordParameter);
    }

    /**
     * Enables subclasses to override the composition of the username, such as by
     * including additional values and a separator.
     *
     * @param request so that request attributes can be retrieved
     *
     * @return the username that will be presented in the <code>Authentication</code>
     * request token to the <code>AuthenticationManager</code>
     */
    protected String obtainUsername(HttpServletRequest request) {
        return request.getParameter(usernameParameter);
    }

3. 重写UsernamePasswordAuthenticationFilter

上面UsernamePasswordAnthenticationFilter的 obtainUsername 和 obtainPassword 方法的注释已经说了,可以让子类来自定义用户名和密码的获取工作。但是我们不打算重写这两个方法,而是重写它们的调用者attemptAuthentication 方法,因为 Json 反序列化毕竟有一定消耗,何况反序列化两次。

只需要在重写的attemptAuthentication 方法中检查是否 Json 登录,然后直接反序列化返回Authentication对象即可。这样我们没有破坏原有的获取流程,还是可以重用父类原有的 attemptAuthentication 方法来处理表单登录。

/**
 * AuthenticationFilter that supports rest login(json login) and form login.
 * @author chenhuanming
 */
public class CustomAuthenticationFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {

        // attempt Authentication when Content-Type is json
        if(request.getContentType().equals(MediaType.APPLICATION_JSON_UTF8_VALUE)
                ||request.getContentType().equals(MediaType.APPLICATION_JSON_VALUE)){

            // use jackson to deserialize json
            ObjectMapper mapper = new ObjectMapper();
            // 自定义一个UsernamePasswordAuthenticationToken类
            UsernamePasswordAuthenticationToken authRequest = null;
            try (InputStream ideserialize jsons = request.getInputStream()){
                // deserialize json to get loginInfo
                AuthenticationBean authenticationBean = mapper.readValue(is,AuthenticationBean.class);
                authRequest = new UsernamePasswordAuthenticationToken(
                        authenticationBean.getUsername(), authenticationBean.getPassword());
            }catch (IOException e) {
                e.printStackTrace();
                authRequest = new UsernamePasswordAuthenticationToken("", "");
            }finally {
                // 
                setDetails(request, authRequest);
                return this.getAuthenticationManager().authenticate(authRequest);
            }
        }
        // If not,transmit it to UsernamePasswordAuthenticationFilter
        else {
            return super.attemptAuthentication(request, response);
        }
    }
}

封装的 AuthenticationBean 类,用了 lombok 简化代码(lombok帮我们写getter和setter方法而已)

@Getter
@Setter
public class AuthenticationBean {
    private String username;
    private String password;
}

4. WebSecurityConfigurerAdapter 配置

重写 Filter 不是问题,主要是怎么把这个 Filter 加到 Spring Security的众多 Filter 里面。

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .cors().and()
        .antMatcher("/**").authorizeRequests()
        .antMatchers("/", "/login**").permitAll()
        .anyRequest().authenticated()
        // 这里必须要写formLogin(),不然原有的UsernamePasswordAuthenticationFilter不会出现,也就无法配置我们重新的UsernamePasswordAuthenticationFilter
        .and().formLogin().loginPage("/")
        .and().csrf().disable();

    // 用重写的Filter替换掉原有的UsernamePasswordAuthenticationFilter
    http.addFilterAt(customAuthenticationFilter(),
    UsernamePasswordAuthenticationFilter.class);
}

// 注册自定义的UsernamePasswordAuthenticationFilter
@Bean
CustomAuthenticationFilter customAuthenticationFilter() throws Exception {
    CustomAuthenticationFilter filter = new CustomAuthenticationFilter();
    filter.setAuthenticationSuccessHandler(new SuccessHandler());
    filter.setAuthenticationFailureHandler(new FailureHandler());
    filter.setFilterProcessesUrl("/login/self");
    //这句很关键,重用WebSecurityConfigurerAdapter配置的AuthenticationManager,不然要自己组装AuthenticationManager
    filter.setAuthenticationManager(authenticationManagerBean());
    return filter;
}

题外话,如果搭自己的 Oauth2 的 Server,需要让 Spring Security Oauth2 共享同一个AuthenticationManager(源码的解释是这样写可以暴露出这个AuthenticationManager,也就是注册到 Spring IoC)

@Override
@Bean 
// share AuthenticationManager for web and oauth
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
}
JavaCoder567
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
框架使用SpringBoot + Spring Security Oauth2 +PostMan
杨航的专栏
04-18 4560
框架使用SpringBoot + Spring Security Oauth2 主要完成了客户端授权 可以通过mysql数据库读取当前客户端表信息进行验证,token存储在数据库中1.引入依赖oauth2 依赖于spring security,需要引入spring, mysql,redis, mybatis&lt;dependencies&gt; &lt;dependency&gt...
Spring Security使用JSON格式登录
大后生大大大的博客
11-23 2269
JSON格式登录、自定义Filter
Spring Security(学习笔记) --Json登录的两种方式!
最新发布
TONGZHOUGONGDU的博客
04-24 459
Security 改为Json认证的两种方式!
SpringSecurity登录使用JSON格式数据
weixin_42398872的博客
12-12 1017
使用SpringSecurity中,大伙都知道默认的登录数据是通过key/value的形式来传递的,默认情况下不支持JSON格式登录数据,如果有这种需求,就需要自己来解决,
Springboot Security 认证鉴权——使用JSON格式参数登录
HD243608836的博客
05-09 2634
在 中,默认的登陆方式是以表单形式进行提交参数的。可以参考前面的几篇文章,但是在前后端分离的项目,前后端都是以 JSON 形式交互的。一般不会使用表单形式提交参数。所以,在 中如果要使用 JSON 格式登录,需要自己来实现。那本文介绍两种方式使用 JSON 登录。1. 通过源码分析可以知道(打断点,往前捋),登录参数的提取在 过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。 的源代码如下:重写其中的attemptAuthentication方法,默认表单认证,需要修改为兼
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 643
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
SpringSecurity登录使用JSON格式数据的方法
10-17
本篇文章将深入探讨如何在Spring Security中实现使用JSON格式数据进行登录验证。 首先,我们需要创建一个Spring Boot项目,并引入必要的依赖。如上文所述,你需要在`pom.xml`文件中添加`spring-boot-starter-...
解析SpringSecurity自定义登录验证成功与失败的结果处理问题
08-25
如果登录类型是 JSON 数据响应,我们可以使用 ObjectMapper 将登录结果转换为 JSON 数据并写入响应中。如果登录类型是页面响应,我们可以使用超链接来跳转到登录成功后的页面。 在自定义的登录成功处理中,我们还...
spring security 官方文档
10-08
7. **API安全**:Spring Security还支持RESTful API的安全,可以为JSON Web Tokens (JWT) 提供生成和验证,以及OAuth2和OpenID Connect集成。 8. **国际化(Internationalization)**:框架支持多语言错误消息,...
Spring Security OAuth2实现使用JWT的示例代码
08-27
在本文中,我们将讨论如何使用 Spring Security OAuth2 实现使用 JSON Web Tokens(JWT),并提供了一个完整的示例代码。 Spring Security OAuth2 介绍 Spring Security OAuth2 是一个基于 OAuth 2.0 的安全框架,...
SpringSecurity整合Jwt过程图解
08-25
2.1)实现Jwt的关键是两个过滤器:一个是用户登录成功时给他返回加密后的Jwt数据格式,密钥存在服务端secret;另一个是校验客户端访问时携带的Token。 2.2)创建Jwt的登录过滤器实现...
Spring Security基于json登录实现过程详解
10-14
主要介绍了Spring Security基于json登录实现过程详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
spring-boot-security使用json请求登陆
u013326684的博客
05-03 262
上面的代码说明一下,我把这个过滤器放入spring容器了,为的就是使用它的JPA的功能,也就是引入CustomUserDetailsService这个服务,这个服务就是查我自定义的用户表,我不想写的太多的代码跟文字,这样你们就不太愿意看这个文章。2、我要的效果是我在postman发post登录请求,返回一个jsessionId,我用这个jsessionId可以再次发起别的请求,我用网上别人提到的一些方法都没有实现,可能是我操作不对。1、在网上找了一些别人的作法,发现都没有实现我的效果,看来只能自己写呢。
SpringBoot(九)——SpringSecurity 响应 json 数据、资源放行问题、登录(自动登录,会话管理、csrf请求攻击和防御)、JWT——有状态登录和无状态登录
qq_41824825的博客
03-02 1559
SpringSecurity 响应 json 数据登录(自动登录,会话管理、csrf请求攻击和防御)、JWT——有状态登录和无状态登录
POSTMAN使用用户和密码绕过Security登录验证
老张的便利贴
02-21 4036
没有人为在配置文件中设置用户密码的情况下,默认用户名是user 启动SpringBoot框架的服务后,日志中打印密码: 1、第一步,使用用户名和密码生成授权信息 HttpBasic模式要求传输的用户名密码使用Base64模式进行加密。如果用户名是 “admin” ,密码是“ admin”,则将字符串"admin:admin" 使用Base64编码算法加密。加密结果可能是:YWtaW46YWR...
postman测试 spring security登录返回登录html页面,不走登录流程的问题
taiguolaotu的博客
03-16 8555
今天翻到之前做的spring security的demo,在重新进行postman登录测试的时候,一直不走登录逻辑,而是返回登录的html页面。而因为前端使用Thymelef,在使用页面登录的时候,却发现能够登录成功,始终找不到原因。到最后虽然说解决了,但是解决的方法也很搞笑,即使说出来很丢人,但是也是一个法子。如果大家遇到这个问题,也是希望大家能够少走些弯路。 话不多说,直接上代码。 @Conf...
Spring Security-6:登录使用 body JSON 传参
github_39436025的博客
12-01 1653
更多内容欢迎访问我的个人 Java 站点:开坑组-Java站 前言 之前的5个篇章基本上能完成一个登录模块,这篇我们介绍下如何在 body 中使用 JSON 来传参调用登录接口,后续还会再补充下登出逻辑。 1. 添加工具类 工具类中添加用于从 HttpServletRequest 中获取参数的方法 package com.example.security.utils; import com.fasterxml.jackson.databind.ObjectMapper; import lombok.e
SpringBoot 整合SpringSecurity示例实现前后分离权限注解+JWT登录认证
emprere的博客
10-05 400
一.说明SpringSecurity是一个用于Java 企业级应用程序的安全框架,主要包含用户认证和用户授权两个方面.相比较Shiro而言,Security功能更加的强大,它可以很容易地...
如何使用layui发送springSecurity登录请求
08-06
3. 编写JavaScript代码:使用Layui的JavaScript API,监听登录按钮的点击事件,获取用户输入的用户名和密码,然后通过Ajax方式将数据JSON格式发送到后端。 4. 后端处理登录请求:在后端使用Spring Security框架,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值