记录使用springsecurity整合jwt时静态资源访问及过滤器顺序异常

最新推荐文章于 2024-04-27 09:42:10 发布
最新推荐文章于 2024-04-27 09:42:10 发布
阅读量2.2k 收藏 4
点赞数 4
分类专栏: springsecurity jwt 过滤器 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42671464/article/details/106384732
版权
springsecurity 同时被 3 个专栏收录
3 篇文章 0 订阅
订阅专栏
jwt
1 篇文章 0 订阅
订阅专栏
过滤器
1 篇文章 0 订阅
订阅专栏

记录使用springsecurity整合jwt时静态资源访问及过滤器顺序异常

首先晒出我的security错误配置

 http.addFilterBefore(new JwtLoginFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class)
                // 访问控制时登录状态检查过滤器
                .addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), UsernamePasswordAuthenticationFilter.class);
                //此处需要注意 自定义资源权限认证过滤器需要在异常处理过滤器之后  因为资源权限认证过滤器一般位于登录认证的最后 如果异常过滤器在资源认证过滤器后 将不会生效
                .addFilterAfter(getMyFilterSecurityInterceptor(), ExceptionTranslationFilter.class)
                .exceptionHandling().accessDeniedHandler(new MyAccessDeineHandler()).authenticationEntryPoint(new MyAuthenticationEntryPoint())
                .and()
                // 禁用 csrf, 由于使用的是JWT,我们这里不需要csrf
                .cors().and().csrf().disable()
                .headers().frameOptions().disable();
        // 退出登录处理器
        http.logout().logoutUrl("/loginout").logoutSuccessHandler(new MyLoginOutSuccessHandler());
        //禁用session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);
               .authorizeRequests()
               // 跨域预检请求
                .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
                // 登录URL
               .antMatchers("/login").permitAll()
               .antMatchers("/index.html").permitAll()
                .antMatchers("/static/**").permitAll()
                .antMatchers("/favicon.ico").permitAll()
                // swagger
                .antMatchers("/swagger**/**").permitAll()
                .antMatchers("/webjars/**").permitAll()
                .antMatchers("/v2/**").permitAll()
                // 其他所有请求需要身份认证
               .anyRequest().authenticated();

首先 乍一看我这配置没什么问题,登录及权限测试都没啥问题。
但是

问题一:退出登录传递到指定处理类时,authentication值为空,无法退出登录对redis中token做退出处理

在这里插入图片描述

原因:

因为使用jwt的原因 我自定义jwt token验证过滤器JwtAuthenticationFilter(看我上面的配置),并将此过滤器置于UsernamePasswordAuthenticationFilter之前。JwtAuthenticationFilter中我用于验证token,并且组装authentication放入SecurityContextHolder中。经过我断点得知,logoutFilter过滤器位于我自定义过滤器之前,所以不论退出登录多少次,首先经过的就是logoutFilter,而不会到达JwtAuthenticationFilter 无法组装authentication信息。

问题二:当我把前端vue项目打包到我的项目中时,无法访问到页面

在这里插入图片描述

原因:

上文中配置了静态资源过滤,但是并没有起到作用
在这里插入图片描述
因为我的自定义过滤器中有token验证过滤器,会对所有请求进行token验证,无论是访问静态资源还是访问接口。但我明明配置静态资源过滤,可还是会被我的过滤器拦截。
无论如何调换过滤器位置,都无法躲过我的过滤器,所以不能使用这种放行,所以配置

public void configure(WebSecurity web) {
        //解决静态资源被拦截的问题
        web.ignoring().antMatchers("/static/**","/favicon.ico","/error","/index.html");
    }

来解决这个问题,这种配置会直接跳过过滤器,不经过过滤器过滤,打断点可以看到
在这里插入图片描述我在请求一进来的applicationFilterConfig过滤中, 我们可以看到spring security的过滤器点进去:
在这里插入图片描述
配置静态资源不会经过springsecurity的过滤器。
正确配置:

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    //自定义用户认证
    @Bean
    public UserDetailsService userDetailsService(){
        return new UserDetailsServiceImpl();
    }
    //加密算法生成bean
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用自定义登录身份认证组件
        JwtAuthenticationProvider jwtAuthenticationProvider = new JwtAuthenticationProvider(userDetailsService());
        jwtAuthenticationProvider.setPasswordEncoder(new MyPasswordEncoder());
        auth.authenticationProvider(jwtAuthenticationProvider);
    }

    @Override
    public void configure(WebSecurity web) {
        //解决静态资源被拦截的问题
        web.ignoring().antMatchers("/static/**","/favicon.ico","/error","/index.html");
    }


    @Override
    protected void configure(HttpSecurity http) throws Exception {


        // 开启登录认证流程过滤器
        http.addFilterBefore(new JwtLoginFilter(authenticationManager()), LogoutFilter.class)
                // 访问控制时登录状态检查过滤器
                .addFilterBefore(new JwtAuthenticationFilter(authenticationManager()), LogoutFilter.class)
                //此处需要注意 自定义资源权限认证过滤器需要在异常处理过滤器之后  因为资源权限认证过滤器一般位于登录认证的最后 如果异常过滤器在资源认证过滤器后 将不会生效
                .addFilterAfter(getMyFilterSecurityInterceptor(), ExceptionTranslationFilter.class)
                .exceptionHandling().accessDeniedHandler(new MyAccessDeineHandler()).authenticationEntryPoint(new MyAuthenticationEntryPoint())
                .and()
                // 禁用 csrf, 由于使用的是JWT,我们这里不需要csrf
                .cors().and().csrf().disable()
                .headers().frameOptions().disable();
        // 退出登录处理器
        http.logout().logoutUrl("/loginout").logoutSuccessHandler(new MyLoginOutSuccessHandler());
        //禁用session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.NEVER);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManager() throws Exception {
        return super.authenticationManager();
    }

    public MyFilterSecurityInterceptor getMyFilterSecurityInterceptor() throws Exception {
        MyFilterSecurityInterceptor myFilterSecurityInterceptor = new MyFilterSecurityInterceptor();
        myFilterSecurityInterceptor.setAuthenticationManager(authenticationManager());
        myFilterSecurityInterceptor.setAccessDecisionManager(new MyAccessDecisionManager());
        myFilterSecurityInterceptor.setSecurityMetadataSource(new MyInvocationSecurityMetadataSource());
        return myFilterSecurityInterceptor;
    }

}

记得双击么么哒,评论区留言问题我会一一解答

庸庸无为阳仔
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring boot spring security 自定义 filter FilterSecurityInterceptor 访问资源 静态资源 和 不需要权限访问都失效了
laokaizzz的专栏
09-06 1万+
问题:spring boot security 中, filters="none"  对应哪个? 自定义AbstractSecurityInterceptor后  静态资源也进入拦截器,登陆页面,permitall 也失效, 还是进入了filter 参考:http://blog.51cto.com/winters1224/2052034 调试源代码发现,采用默认的 FilterSecurit...
排除拦截静态资源
一杯咖啡
04-08 689
配置拦截器 spring-mvc.xml <!--配置拦截器--> <mvc:interceptors> <mvc:interceptor> <!--拦截哪些资源--> <mvc:mapping path="/**"/> <!--...
SpringSecurityJWT整合
jockha的博客
09-29 551
一.首先用户登录成功之后关联jwt,并返回jwt 1.实现AuthenticationSuccessHandler 2.在AuthenticationSuccessHandler的handle方法中生成令牌并且把user信息写入jwt中,写入缓存以供前端传过来比对,这里最好给个有效间,然后把jwt放入header中返回给前端,以后前端就用它来调用接口 代码: public class JwtAuthenticationSuccessHandler implements AuthenticationSuc
Spring Security介绍(三)过滤器(2)自定义
最新发布
w_t_y_y的博客
04-27 733
Component@Slf4j@Overridelog.info("进入UrlFilter");@Component@Slf4j@Overridelog.info("进入UrlFilter-one");修改自定义的UrlFilter,修改为继承OncePerRequestFilter@Component@Slf4j@Overridelog.info("进入UrlFilter");
JWTSpring Security集成相关知识总结
qq_42383970的博客
04-11 1601
1.JWT 1.1 JWT是什么,为什么要使用它 通常情况下,如果直接把API接口暴露出去风险是很大的,所以一般需要对API划分出一定的权限级别,然后做一个用户的鉴权,依据鉴权结构给予用户对应的API 在互联网服务器中的一般认证流程: 1.用户向服务器发送用户名和密码。 2.服务器验证通过后,在当前对话(session)里面保存相关数据,比如用户角色,登录间等等。 3.服务器向用户返回一个session_id,写入用户的Cookie。 4.用户随后的每一次请求,都会通过Cookie,将sess
SpringBoot在使用SecurityJWT,应当怎么放行图片等静态资源#访问静态资源#静态资源放行#报错401
jingjiaohuan的博客
11-05 3337
springboot的文件上传总结,仅供学习
详解SpringBoot+SpringSecurity+jwt整合及初体验
08-25
SpringBoot+SpringSecurity+jwt整合详解 SpringBoot是当前最流行的Java框架之一,它提供了便捷的方式来构建基于Web的应用程序。然而,在构建Web应用程序,安全性是不可忽视的重要方面。因此,本文将详细介绍如何...
SpringSecurity整合Jwt过程图解
08-25
"SpringSecurity整合Jwt过程图解" 在本文中,我们将详细介绍SpringSecurity整合Jwt的过程图解。Jwt(Json Web Token)是一种基于Token的身份验证机制,广泛应用于Web应用程序的身份验证和授权中。SpringSecurity是...
SpringBoot2.6整合SpringSecurity+JWT
01-11
在本文中,我们将深入探讨如何在SpringBoot 2.6版本中整合Spring Security与JSON Web Token(JWT)技术。Spring SecuritySpring框架的一个模块,提供了一套强大的安全控制机制,而JWT则是一种轻量级的身份验证和...
解析SpringSecurity+JWT认证流程实现
08-18
我们首先需要配置SpringSecurity过滤器链,然后在认证流程中,我们使用JWT token来验证用户的身份。如果用户的身份验证成功,我们将生成一个JWT token,并将其传递给客户端。 六、结论 SpringSecurity+JWT认证...
SpringBoot2.7整合SpringSecurity+Jwt+Redis+MySQL+MyBatis完整项目代码
10-30
在本项目中,我们主要关注的是SpringBoot 2.7版本与多个技术的深度整合,包括Spring SecurityJWT(JSON Web Token)、Redis缓存以及MySQL数据库,并利用MyBatis作为持久层框架。以下是对这些技术及其整合应用的...
两张图疏通Spring Security认证流程
HHH的博客
07-19 431
我们都知道实现一套Spring Security 的认证流程, 需要设计很多和类来回切换,等等, 这些类名又非常的长, 所以导致我们在写的候,思绪混乱,不知道下一步应该写什么 ,所以今天我们就通过两张图来搞明白这个认证编码的流程Tip:最好自己是已经跟着文档或者视频做过一次Spring Security认证流程可以看看我的上一篇博客更加优雅的认证授权——Spring Security_Hzq958的博客-CSDN博客所以我们的编码流程自顶向下的方式是非常合理, 避免了反复频繁的切换类。
Spring常见问题解决 - @WebFilter 过滤器使用@Order控制执行顺序失效了?
Zong_0915的博客
09-07 4188
根据上述的的描述,我们知道,过滤器链中的顺序的加载依赖:第一步骤:项目启动,会执行函数。此会加载类型的Bean。第二步骤:此会触发这个类的构造函数执行。构造函数中首先通过函数,按照顺序处理类型的Bean。是的一个子类。因此第二步中加载的实际上是。而最终又实现了Ordered接口。相关属性存在于其父类中。即order属性。构造函数将会对第二步中收集到的进行排序。先看排序对象是否实现了Ordered接口,若有,则调用getOrder()获取值。否则调用获取@Order注解属性值。我们通过。
Spring Boot ,Spring Security的Filter在Tomcat正常,部署在Weblogic 12c Filter顺序出错,导致拦截权限不生效问题
记录工作的常用技术、技能技巧
11-27 3497
Spring Boot使用main函数启动或在tomcat中启动,Filter是按照正常的顺序执行拦截,将工程打包为war包,部署到weblogic上,Filter执行顺序错乱,导致权限拦截出错。 最近公司的一个项目使用Spring Boot开发,前期也做了技术评估,打包成war到Tomcat和Weblogic 12c上运行,静态资源和RequestMapping访问均正常,以为万事大吉,就
Express请求处理-静态资源的处理
BADAO_LIUMANG_QIZHI的博客
07-16 846
场景 Node的Web应用框架Express的简介与搭建HelloWorld: https://mp.csdn.net/console/editor/html/106650798 注: 博客:https://blog.csdn.net/badao_liumang_qizhi 关注公众号 霸道的程序猿 获取编程相关电子书、教程推送与免费下载。 实现 静态资源的处理 通过Express内置的express.static 可以方便的托管静态文件,例如img、css、JavaScript文件等。
自定义Spring Security过滤器 JwtAuthenticationTokenFilter
zyx1234321的博客
11-19 388
这个过滤器的作用是在请求到达验证 JWT,并将用户信息存储到 Spring Security 的上下文和 ThreadLocal 中,方便后续的权限验证和用户信息获取。放在所有过滤器前面,检查浏览器携带的token是否合法。
SpringSecurity实现前后端分离登录token认证详解
热门推荐
qq_43649937的博客
06-12 1万+
SpringSecurity Springboot java
SpringSecurity结合Jwt实现定制化认证过滤器的详细步骤
qq_45105989的博客
11-03 1174
实现定制化认证过滤器只是认证,而授权还是交给Security框架实现。Payload本质上是一个Map集合,上面的命名表示Map集合默认键名,我们通过put()来定义参数。
SpringSecurity整合JWT实现认证和授权
weixin_44909963的博客
04-28 5484
SpringSecurity整合JWT实现认证和授权 文章目录SpringSecurity整合JWT实现认证和授权前言一、SpringSecurity介绍和架构分析及使用流程二、使用步骤1.引入库2.读入数据总结 前言 本文主要讲解l通过整合SpringSecurityJWT实现后台用户的登录和授权功能,使用到的技术有nacos,dubbo,SpringSecurity,redis. 一、SpringSecurity介绍和架构分析及使用流程 SpringSecurity是一个安全框架,支持自定义需求。
spring security整合jwt
03-16
Spring Security是一个强大的安全框架,可以帮助我们保护我们的应用程序免受各种攻击。JWT(JSON Web Token)是一种用于身份验证和授权的开放标准,它可以在不需要服务器存储会话信息的情况下实现无状态身份验证。 将Spring SecurityJWT结合起来使用可以提供更加安全和灵活的身份验证和授权机制。在整合过程中,我们需要实现自定义的AuthenticationProvider和Filter来处理JWT的验证和授权,同还需要配置一些Spring Security的相关参数,如登录页面、认证成功和失败的处理等。最终,我们可以通过JWT生成和验证来实现无状态的身份验证和授权。 总之,Spring Security整合JWT可以提供更加安全和灵活的身份验证和授权机制,适用于各种Web应用程序。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值