设置Security中的token认证过滤器

最新推荐文章于 2024-07-10 15:32:43 发布
最新推荐文章于 2024-07-10 15:32:43 发布
阅读量1.2k 收藏
点赞数
分类专栏: spring学习 文章标签: spring 过滤器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42218565/article/details/118754904
版权

在实现MvcSecurityConfiguration的类configure(HttpSecurity http)方法中添加如下内容:

 http.exceptionHandling()
                .authenticationEntryPoint(new UnauthorizedEntryPoint())
                .and()
                .csrf().disable()
                .logout()
                .addLogoutHandler(new TokenLogoutHandle(redisTemplate, tokenManager))
                .logoutUrl("/auth/logout")
                .and()
                .authorizeRequests()
                // 静态资源等等
                .antMatchers(
                        HttpMethod.GET,
                        "/*.html",
                        "/**/*.html",
                        "/**/*.css",
                        "/**/*.js",
                        "/webjars/**",
                        "/v2/**"
                ).permitAll()
                .antMatchers("/auth/**").permitAll()
                .antMatchers("/swagger-ui.html").permitAll()
                .antMatchers("/swagger-resources/**").permitAll()
                .anyRequest().authenticated()//设置所有请求都要认证
                .and().apply(securityConfigurerAdapter());//设置token的配置
securityConfigurerAdapter()具体的内容
private TokenConfigurer securityConfigurerAdapter() {
        return new TokenConfigurer(tokenManager);
    }
TokenConfigurer类如下:
public class TokenConfigurer extends SecurityConfigurerAdapter<DefaultSecurityFilterChain, HttpSecurity> {
    //token提供类
    private final TokenManager tokenManager;

    public TokenConfigurer(TokenManager tokenManager) {
        this.tokenManager = tokenManager;
    }

    @Override
    public void configure(HttpSecurity http) {
        TokenFilter customFilter = new TokenFilter(tokenManager);//token过滤器类
        http.addFilterBefore(customFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

TokenFilter类

@RequiredArgsConstructor
public class TokenFilter extends GenericFilterBean {

    private final TokenManager tokenManager;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest req = (HttpServletRequest) request;
        String token = resolveToken(req);
        // 对于 Token 为空的不需要去查 Redis
        if (token != null && token.length() != 0) {
            //用户在线并且token有用,给token续期
            if (StringUtils.hasText(token)) {
                Authentication authentication = tokenManager.getAuthentication(token);
                SecurityContextHolder.getContext().setAuthentication(authentication);
                // Token 续期
                tokenManager.checkRenewal(token);
            }
        }
        chain.doFilter(request, response);
    }

    private String resolveToken(HttpServletRequest req) {
        String token = req.getHeader("Authorization");
        if (StringUtils.hasText(token) && token.startsWith("Bearer")) {
            // 去掉令牌前缀
            return token.replace("Bearer", "");
        } else {
            log.debug("非法Token:{}", token);
        }
        return null;
    }
}

bintry
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity集成jwt时JwtTokenFilter的位置
qq_35772435的博客
12-31 1126
网上很多Spring Security集成jwt的配置教程, 有一些配置的filter位置是错的. 这个是对的: https://cloud.tencent.com/developer/article/1555599 内容: .addFilterBefore(new JwtLoginFilter("/login",authenticationManager()),UsernamePasswordAuthenticationFilter.class) .addFilterBefore(new JwtFilte
Spring Security常用过滤器实例解析
08-24
SecurityContextPersistenceFilter 是 Spring Security 的一个重要的过滤器,负责将 SecurityContext 保存到Session 或从 Session 获取 SecurityContext。SecurityContext 存储了当前用户的认证信息和权限...
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2246
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis去,使用JWT的话,toke...
SpringspringSecurityWebSecurityConfigurerAdapter类configure方法(5版本以下)
最新发布
wosixiaokeai的博客
07-10 504
configure
springbsecurity 登录token验证过滤器_Spring Security框架下实现两周内自动登录"记住我"功能...
weixin_39731456的博客
11-21 607
本文是Spring Security系列的一篇。在上一篇文章,我们通过实现UserDetailsService和UserDetails接口,实现了动态的从数据库加载用户、角色、权限相关信息,从而实现了登录及授权相关的功能。这一节就在此基础上新增,登录过程经常使用的“记住我”功能,也就是我们经常会在各种网站登陆时见到的"两周内免登录",“三天内免登录”的功能。该功能的作用就是:当我们登录成功之...
Spring SecurityToken存储与会话管理:解析与实践
jakelihua
12-14 791
在Web开发Spring Security提供了丰富的支持,特别是在身份验证和授权方面。本文将深入探讨Token的存储位置、会话管理和Cookie、Session、Token的区别,以及它们在实际应用的应用场景。
SpringBoot入门建站全系列(十二)Spring Security使用token认证
feiyangtianyao的专栏
06-24 1544
SpringBoot入门建站全系列(十二)Spring Security使用token认证 Spring 是一个非常流行和成功的 Java 应用开发框架。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分。用户认证指的是验...
SpringSecurity Jwt Token 自动刷新的实现
08-19
过滤器代码,Token判断和再次生成: ```java package com.huan.study.security.token; import com.fasterxml.jackson.databind.ObjectMapper; import com.huan.study.security.configuration.TokenProperties; ...
SpringSecurity之JWT实现token认证和授权.zip
08-09
在这个主题,我们将深入探讨如何使用Spring Security结合JSON Web Token (JWT) 实现token认证和授权。 JWT 是一种轻量级的、安全的、无状态的身份验证机制,常用于API的鉴权。它通过在客户端和服务器之间传递令牌...
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity过滤器链,然后在认证流程,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
spring security ouath2获取token(认证)流程图.pdf
08-26
当请求到达`ClientCredentialsTokenEndpointFilter`时,这个过滤器会负责验证客户端的身份。在`attemptAuthentication`方法,请求被转化为一个认证请求,并传递给`authenticationManager`进行处理。这里的`...
springboot整合springsecurity进行token登录认证
lovely960823的博客
05-28 3200
之前写过一篇的,但是感觉有点垃圾,这次在我原来shiro项目的基础上重写了一遍。细节不说了,下面直接上代码 //登录实体类 @Data public class LoginUser implements Serializable{ private static final long serialVersionUID = 1L; private Integer id; private String username; private String password; private
Spring Security认证&密码加密&Token令牌&CSRF的使用详解
万维网连五洲,二进制写尽天下事,喜欢结识新伙伴寻找志同道合的朋友,欢迎一起探讨学习
12-21 5596
我们都知道Spring Security是做认证的,那它到底是怎么认证的呢?它是怎么将明文密码加密的呢?Token令牌的使用与CSRF跨域请求伪造是什么等等我们都不知道,但是通过这篇文章我相信你会有所了解有所收获!!!创建自定义MD5加密类并实现@Override//对密码进行 md5 加密​@Override// 通过md5校验修改@Bean// 自定义MD5加密方式:数据库的用户密码也需要更换成对应自定义MD5//MD5自定义加密方式:最后,将生成的MD5。
Spring Security】——配置器之 SecurityConfigurerAdapter 分支
qq_33471737的博客
07-07 1565
官网地址 Spring Security Reference 版本:Version 5.5.0 配置器之 SecurityConfigurerAdapter 一族
随便看看之spring-security过滤链源码
fsdf8sad7的博客
07-22 257
1.spring-security过滤链组成与顺序 在org.springframework.security.config.annotation.web.builders.FilterComparator 构造函数 定义了security 过滤器的顺序。 从这里面我们也可以看到security 里面使用到的过滤器, 从名字上我们大概可以看出每个fileter的作用。(部分源码如下:) 里面非常有趣的是put(.class) 和put(“XXX.class”) FilterComparator() {
spring security使用总结
Koikoi12的博客
08-11 3101
三种配置方法 configure(WebSecurity) 通过重载,配置Spring Security的Filter链 configure(HttpSecurity) 通过重载,配置如何通过拦截器保护请求,用来拦截请求,配置白名单和过滤 configure(AuthenticationManagerBuilder) 通过重载,配置user-detail服务,身份认证接口调用 用户存储方式 基于内存 auth.inMemoryAuthentication() .withUser(“admin”).passw
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
Java知音
04-02 5305
一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后端分离登录认证及权...
springsecurity配置自定义过滤器后不通过http.addFilterBefore注册但是却能访问
qq_27577113的博客
05-19 1337
HttpSecurity定义了初始化过滤器的集合 public final class HttpSecurity extends AbstractConfiguredSecurityBuilder<DefaultSecurityFilterChain, HttpSecurity> implements SecurityBuilder<DefaultSecurityFilterChain>, HttpSecurityBuilder<HttpSecurity>
Spring Security使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security认证与授权是分开的:
springsecurity自动效验token过滤器
04-03
Spring Security,可以使用过滤器来自动验证令牌。具体来说,可以通过以下步骤实现: 1. 创建一个过滤器,用于验证令牌。 ```java public class JwtTokenAuthenticationFilter extends OncePerRequestFilter { @Autowired private JwtTokenProvider jwtTokenProvider; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String token = jwtTokenProvider.resolveToken(request); try { if (StringUtils.hasText(token) && jwtTokenProvider.validateToken(token)) { Authentication authentication = jwtTokenProvider.getAuthentication(token); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (JwtException e) { SecurityContextHolder.clearContext(); response.sendError(HttpStatus.UNAUTHORIZED.value(), "Invalid token"); return; } filterChain.doFilter(request, response); } } ``` 2. 将过滤器添加到Spring Security的配置。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenAuthenticationFilter jwtTokenAuthenticationFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .addFilterBefore(jwtTokenAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 在上述代码,我们首先创建了一个JwtTokenAuthenticationFilter过滤器,用于验证令牌。然后,我们将这个过滤器添加到Spring Security的配置,以便在处理请求时自动验证令牌。最后,我们将这个过滤器添加到UsernamePasswordAuthenticationFilter之前,确保它在处理请求时先进行验证。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值