spring security 实现自定义认证和登录(4):使用token进行验证

最新推荐文章于 2024-04-29 15:10:45 发布
最新推荐文章于 2024-04-29 15:10:45 发布
阅读量3.4k 收藏 6
点赞数 1
分类专栏: spring 文章标签: spring java spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45691577/article/details/129365723
版权

前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。



1. 禁用 UsernamePasswordAuthenticationFilter



在这里插入图片描述

由上图可以看出,当用户访问了相关路径之后,Spring内部会自己创建一个UsernamePasswordAuthenticationFilter给我们,现在我们不想通过username和password进行认证了,我们想通过token进行验证,那就需要把内部创建的UsernamePasswordAuthenticationFilter给禁用了。

添加formLogin().disable到过滤链中:


在这里插入图片描述


为什么添加了这行代码就禁用了那个东西了呢?这是因为如果不禁用formLogin,它就会创建一个UsernamePasswordAuthenticationFilter


2. 创建自己的认证过滤器


禁用了UsernamePasswordAuthenticationFilter之后,我们就需要创建自己的过滤器,并把它添加到过滤链中,我们的验证过程就是在我们自己编写的过滤器中进行

在这里插入图片描述

@Slf4j
@Component
public class JWTAuthenticationFilter extends OncePerRequestFilter {

    @Resource
    RedisTemplate redisTemplate;

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //如果是要登录,放行到登录页面
        if("/login2".equals(request.getRequestURI())){
            filterChain.doFilter(request, response);
            return;
        }
        //不是进行登录,说明前端会携带token
        String token = request.getHeader("Authorization");
        if(StrUtil.isEmpty(token))
            throw new RuntimeException("token 为空");
        //token类型:postman前端传来的token会在前面加一个类型和一个空格
        if(!StrUtil.startWith(token, "Bearer"))
            throw new RuntimeException("token 类型错误");
        
        //1. 验证token
        token = token.substring(7);
        JWTSigner jwtSigner = JWTSignerUtil.hs512("testttttt".getBytes(StandardCharsets.UTF_8));
        if (!JWTUtil.verify(token, jwtSigner)) {
            throw new RuntimeException("token 无效");
        }
        //2. 从token中取出用户名
        String username = (String) JWTUtil.parseToken(token).getPayload().getClaim("username");
        
        //3. 根据用户名从redis中取出password(登录时可以将UserDetails存储到redis)
        String password = (String) redisTemplate.opsForHash().get("user-details", username);
        if(password == null) throw new RemoteException("token 过期");
        log.info("--------> get password= {}", password);

        //4. new一个UserDetails,这个UserDetails会被存储到SecurityContextHolder中
        MyUserDetails userDetails = new MyUserDetails(new MyUser(1, username, password));
        
        //5. 将UserDetails存储到SecurityContextHolder中
        SecurityContextHolder.getContext().setAuthentication(UsernamePasswordAuthenticationToken.authenticated(userDetails
        , null, null));
        filterChain.doFilter(request, response);
    }
}

注意,代码中的第5步决定是否放行请求,只有将UserDetails存储到SecurityContextHolder中,过滤器才会放行。


将编写好的过滤器添加到过滤器链中:




在这里插入图片描述

.addFilterAt(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

3. 测试

可以看到,用户首次登录之后,后端成功返回一个token



在这里插入图片描述

接下来携带token请求另一个页面。


在这里插入图片描述


成功返回结果:

在这里插入图片描述

EX++++++++++++++

经过测验发现,放行和不放行完全取决于这行代码:


在这里插入图片描述

SecurityContextHolder.getContext().setAuthentication(UsernamePasswordAuthenticationToken.authenticated(userDetails, null, null));

我甚至可以直接写成

SecurityContextHolder.getContext().setAuthentication(new UsernamePasswordAuthenticationToken(userDetails, null, null));

因为UsernamePasswordAuthenticationToken.authenticated(userDetails, null, null)这个函数在底层就是会直接new一个UsernamePasswordAuthenticationToken

qq_45691577
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4562
实现token 认证
Spring Security使用token
热门推荐
超频化石鱼的博客
09-12 1万+
单点登录与多点登录 单点登录:同一个账号在同一时间只有一个token有效。一旦生成新的token,所有旧token失效。 多点登录:同一个账号在同一时间可多次登录,每次登陆都会获得一个token。这些token的有效期是隔离的,不受新生成token的影响。 对于token,若要实现单点登录,则必须将所有token保存在服务端。这实际上与token服务端不负责保存的本质相悖。若要实现单点登录,建议使用session。 下面将实现多点登录。 原理与思路 Spring Security认证与授权是分开的:
Spring Security(一)用户认证
最新发布
m0_74232531的博客
04-29 803
Spring Security
Spring Security添加token授权登陆
student100000的博客
08-03 7807
需求:其他项目要跳转我们的springboot+springsecurity项目,需要授权特定token登陆。 实现思路:添加过滤器,拦截请求中的token,传递给Authentication鉴权,如果这个请求不带有授权信息,被拦截后,会跳转登录页面。一.先来了解下springsecurity,熟悉的跳过该部分 1)Spring Security介绍: Spring Security是一个功能强大且高度可定制的身份验证和访问控制框架。提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。它的
SpringSecurity认证流程详解和代码实现
qq_44749491的博客
06-29 1万+
/ 封装该用户拥有的权限信息,这里还只是讲认证,所以直接返回null跳过 @Override public Collection
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 3980
前后端分离架构 -- SpringSecurity用法+自定义token校验
Spring Security实现验证登录功能
08-25
验证码的输入验证是通过 Spring Security的AuthenticationProvider来实现的,该provider将用户输入的验证码与生成的验证进行比较,如果正确则允许用户登录。 知识点七:Spring Security验证登录功能的优点 ...
spring security实现下次自动登录功能过程解析
08-25
在本文中,我们将深入探讨如何使用Spring Security实现“记住我”功能,以便用户在下次访问时能够自动登录。 一、原理分析 “记住我”功能的核心在于使用Cookie来保存用户的登录状态。当用户首次登录并勾选“记住我...
spring security ouath2获取token(认证)流程图.pdf
08-26
Spring Security OAuth2 是一个强大的授权框架,用于保护Java应用程序的安全。在这个流程中,我们主要关注的是使用`password`方式获取OAuth2的访问令牌(token)。下面将详细解释这个过程。 首先,客户端发起一个...
springsecurity-collection:springsecurity安全框架的一些使用
04-28
安全框架SpringSecurity的基本应用 test-ss-11 集成spring security 自定义认证成功和认证失败的handler 自定义访问拒绝的handler(权限不足) 自定义退出登录成功的handler MockUserList是模拟用户列表 authorize...
Spring Boot(四)之使用JWT和Spring Security保护REST API
08-30
"Spring Boot使用JWT和Spring Security保护REST API" Spring Boot中的REST API保护...使用JWT和Spring Security来保护REST API是非常有效的,它可以提供了高安全性和灵活性,并且可以根据不同的需求进行自定义和扩展。
springsecurity 获取token流程分析
lucktomcat的博客
07-01 3924
springsecurity password模式通过端点获取token主要源码段
循序渐进学spring security 第十篇 如何用token登录?JWT闪亮登场
huangxuanheng的专栏
07-31 2429
文章目录JWT简介JWT认证JWT的结构JWT登录流程如何引入JWTJwtHelper 工具类介绍如何创建token?如何解析token?创建项目创建项目:security-mybatis-jwt引入JWT maven依赖将登录成功,登录失败,登出等配置的handler抽取出来单独放在一个handler包创建JWT工具类登录成功后生产token返回给前端如何校验token的有效性?验证失败的处理启动测试 JWT简介 JWT是 Json Web Token 的缩写。它是基于 RFC 7519 标准定义的一种可
Spring SecurityToken存储与会话管理:解析与实践
jakelihua
12-14 658
在Web开发中,Spring Security提供了丰富的支持,特别是在身份验证和授权方面。本文将深入探讨Token的存储位置、会话管理和Cookie、Session、Token的区别,以及它们在实际应用中的应用场景。
【第十一篇】SpringSecurity基于JWT实现Token的处理
yqqの博客
03-18 731
SpringSecurity中的认证是通过UsernamePasswordAuthenticationFilter来处理的,现在我们要通过JWT来处理,那么我们就需要重写其中几个处理的方法然后就是当客户端提交请求,我们需要拦截请求检查header头中是否携带了对应的Token信息,并检查是否合法。/*** 校验Token是否合法的Filter//如果携带错误的token,则给用户提示请登录!resultMap . put("msg" , "请登录!");} else {
自定义spring security oauth2 /oauth/token以及token失效/过期的返回内容格式
qq_37634156的博客
06-12 1万+
在整合Spring Security Oauth2的时候,获取token的接口/oauth/token的返回内容格式为固定的,如下图所示:而token过期或者无效的返回参数格式如下图所示:实际在我们的项目中有时候会要求自定义返回内容格式,下面分别介绍获取tokentoken失效/过期的自定义返回内容格式。 2、创建获取token接口返回值的转换类 创建一个类来完成对获取token接口的返回参数进行转换成我们自定义的格式,这里使用到了@JsonSerialize注解,该注解主要用于数据转换,不知
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2216
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,toke...
认证和授权:前后端分离状态下使用Spring Security实现安全访问控制
Java精选
10-09 710
本文使用springboot版本是2.1.3.RELEASE一、简要描述默认情况下,spring security登录成功或失败,都会返回一个302跳转。登录成功跳转到主页,失败跳转到登录页。如果未认证直接访问受保护资源也会跳转到登录页 。而在前后端分离项目中,前后端是通过json数据进行交互,前端通过ajax请求和后端进行交互,ajax是无法处理302跳转的,所以我们希望不管是未登录还是登录成...
SpringSecurity 进行自定义Token校验
weixin_30645617的博客
04-29 3613
背景 Spring Security默认使用「用户名/密码」的方式进行登陆校验,并通过cookie的方式存留登陆信息。在一些定制化场景,比如希望单独使用token进行部分页面的访问权限控制时,默认方案无法支持。在未能在网上搜索出相关实践的情况下,通过官方文档及个别Stack Overflow的零散案例,形成整体思路并实践测试通过,本文即关于该方案的一个分享。 参考 官方文档:https://do...
spring security通过自定义注解和aop实现指定接口,没有token的时候可以访问
07-15
Spring Security中,AOP是无法绕过安全过滤器链进行授权和认证的。 要实现指定接口在没有Token的情况下可以访问,可以考虑以下方法: 1. 创建一个自定义过滤器`NoTokenFilter`,用于拦截指定的接口,并跳过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值