Spring security4.1.4 如何实现api接口和页面的双重拦截

最新推荐文章于 2024-05-28 15:44:47 发布
最新推荐文章于 2024-05-28 15:44:47 发布
阅读量4.5k 收藏 1
点赞数
分类专栏: javaweb 文章标签: java Spring security spring ajax拦截
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/s297165331/article/details/50608859
版权

dileber先暂缓一下,最近在作服务器认证方面的东西

貌似市面上关于双重拦截的比较少,而且版本都比较旧 ,我今天就给大家讲讲spring secutiry的双重拦截,下回我再讲讲shiro的双重拦截。最近做东西比较杂乱~~哈哈

首先讲一下spring Security入和对接口和页面同时拦截

首先是配置文件

<beans:beans xmlns="http://www.springframework.org/schema/security"
             xmlns:beans="http://www.springframework.org/schema/beans" 
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://www.springframework.org/schema/beans
   http://www.springframework.org/schema/beans/spring-beans-3.0.xsd
   http://www.springframework.org/schema/security
   http://www.springframework.org/schema/security/spring-security-3.2.xsd">

    <!-- enable use-expressions -->
    <http auto-config="true" use-expressions="true" entry-point-ref="MyAuthenticationEntryPoint">



不拦截的接口
        <intercept-url pattern="/customer" access="permitAll"></intercept-url>

       

拦截的api
        <intercept-url pattern="api/cv1/**" access="hasRole('ROLE_USER')" />
       
拦截的网页
        <intercept-url pattern="/customer/**" access="hasRole('ROLE_USER')" />
       
页面登录
        <custom-filter ref="loginFilter" after="FORM_LOGIN_FILTER"/>
ajax登录
        <custom-filter ref="ajaxLoginFilter" before="FORM_LOGIN_FILTER"/>
开启csrf,之前的博客我也有说个csrf 你们自己看看就好
        <!-- enable csrf protection -->
        <!--<csrf/>-->
    </http>

    <beans:bean id="MyAuthenticationEntryPoint" class="com.cs.jucaibang.back_end.utils.springsecurity.MyAuthenticationEntryPoint">
        <beans:property name="loginFormUrl" value="/customer/login" />
    </beans:bean>

    <!-- 验证ajax请求,配置 开始-->
    <beans:bean id="ajaxLoginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
        <beans:property name="authenticationManager" ref="authenticationManager"/>
        <beans:property name="authenticationFailureHandler" ref="ajaxFailureHandler"/>
        <beans:property name="authenticationSuccessHandler" ref="ajaxSuccessHandler"/>
        <beans:property name="filterProcessesUrl" value="/api/login"/>
        <beans:property name="passwordParameter" value="passWord"/>
        <beans:property name="usernameParameter" value="userName"/>
    </beans:bean>

    <beans:bean id="ajaxFailureHandler" class="com.utils.springsecurity.AjaxAuthenticationFailureHandler">
    </beans:bean>

    <beans:bean id="ajaxSuccessHandler" class="com.utils.springsecurity.AjaxAuthenticationSuccessHandler">
    </beans:bean>
    <!-- 验证ajax请求,配置 结束-->


    <!--普通请求,配置开始 -->
    <beans:bean id="loginFilter" class="org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter">
        <beans:property name="authenticationManager" ref="authenticationManager"/>
        <beans:property name="authenticationFailureHandler" ref="failureHandler"/>
        <beans:property name="authenticationSuccessHandler" ref="successHandler"/>
        <beans:property name="filterProcessesUrl" value="/customer/login"/>
        <beans:property name="passwordParameter" value="passWord"/>
        <beans:property name="usernameParameter" value="userName"/>
    </beans:bean>

    <beans:bean id="failureHandler" class="org.springframework.security.web.authentication.SimpleUrlAuthenticationFailureHandler">
        <beans:property name="defaultFailureUrl" value="/err/403" />
    </beans:bean>

    <beans:bean id="successHandler" class="org.springframework.security.web.authentication.SavedRequestAwareAuthenticationSuccessHandler">
        <beans:property name="alwaysUseDefaultTargetUrl" value="false"/>
        <beans:property name="defaultTargetUrl" value="/"/>
    </beans:bean>
    <!--普通请求,配置结束 -->


  

    <!-- Select users and user_roles from database -->
    <authentication-manager  alias="authenticationManager">
        <authentication-provider ref='commonAuthenticationProvider'/>
        <!--        <authentication-provider>
            <jdbc-user-service 
                data-source-ref="dataSource"
                users-by-username-query=
                "select username,password, enabled from users where username=?"
                authorities-by-username-query=
                "select username, role from user_roles where username =?  " />
        </authentication-provider>-->
    </authentication-manager>
   
    
    <global-method-security secured-annotations="enabled" />
</beans:beans>




实现

AuthenticationFailureHandler

/**
 * Created by yy on 2016/1/12.
 */
public class AjaxAuthenticationFailureHandler implements AuthenticationFailureHandler {

    public AjaxAuthenticationFailureHandler() {
    }

    @Override
    public void onAuthenticationFailure(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json");
        httpServletResponse.setCharacterEncoding("UTF-8");
        PrintWriter out = httpServletResponse.getWriter();
        DataWrapper dataWrapper = new DataWrapper();
        dataWrapper.setStatus(-1);
        dataWrapper.setMsg("登录失败");
        out.println(StringHelper.JsonHelper.toJson(dataWrapper));
        out.flush();
        out.close();
    }
}

同上


/**
 * Created by yy on 2016/1/12.
 */
public class AjaxAuthenticationSuccessHandler implements AuthenticationSuccessHandler {

    public AjaxAuthenticationSuccessHandler() {
    }

    @Autowired
    UserService service;

    @Override
    public void onAuthenticationSuccess(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, Authentication authentication) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json");
        httpServletResponse.setCharacterEncoding("UTF-8");
        PrintWriter out = httpServletResponse.getWriter();
        ModelUserAuth user = (ModelUserAuth) authentication.getPrincipal();
        WrapperJcbLogin result=service.spring_login(user.getUserName(), httpServletRequest);
        out.println(StringHelper.JsonHelper.toJson(result));
        out.flush();
        out.close();
    }
}


同上



/**
 * Created by yy on 2016/1/12.
 */
public class MyAuthenticationEntryPoint extends LoginUrlAuthenticationEntryPoint {

    private RedirectStrategy redirectStrategy = new DefaultRedirectStrategy();
    static Pattern apiPattern= Pattern.compile("^/[a-z]v[0-1]/(w|r)/");

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)
            throws IOException, ServletException {

        String redirectUrl = null;

        String url = request.getRequestURI();


        Matcher m=apiPattern.matcher(url);
        if( m.find()){
            response.setContentType("application/json");
            response.setCharacterEncoding("UTF-8");
            PrintWriter out = response.getWriter();
            DataWrapper dataWrapper = new DataWrapper();
            dataWrapper.setStatus(-1);
            dataWrapper.setMsg("您还未登录");
            out.println(StringHelper.JsonHelper.toJson(dataWrapper));
            out.flush();
            out.close();
        }else{
            if (this.isUseForward()) {

                if (this.isForceHttps() && "http".equals(request.getScheme())) {
                    // First redirect the current request to HTTPS.
                    // When that request is received, the forward to the login page will be used.
                    redirectUrl = buildHttpsRedirectUrlForRequest(request);
                }

                if (redirectUrl == null) {
                    String loginForm = determineUrlToUseForThisRequest(request, response, authException);

                    RequestDispatcher dispatcher = request.getRequestDispatcher(loginForm);

                    dispatcher.forward(request, response);

                    return;
                }
            } else {
                // redirect to login page. Use https if forceHttps true

                redirectUrl = buildRedirectUrlToLoginPage(request, response, authException);

            }

            redirectStrategy.sendRedirect(request, response, redirectUrl);
        }

    }


}




/**
 * Created by yy on 2016/1/11.
 * 对spring security 拦截的重写
 *
 */
public class MySpringAccessDeniedHandler implements AccessDeniedHandler {


    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        boolean isAjax = "XMLHttpRequest".equals(httpServletRequest.getHeader("X-Requested-With"));
        //如果是ajax请求
        if (isAjax) {
            httpServletResponse.setContentType("application/json");
            httpServletResponse.setCharacterEncoding("UTF-8");
            PrintWriter out = httpServletResponse.getWriter();
            DataWrapper dataWrapper = new DataWrapper();
            dataWrapper.setStatus(-1);
            dataWrapper.setMsg("403");
            out.println(StringHelper.JsonHelper.toJson(dataWrapper));
            out.flush();
            out.close();
            return;
        }
        else if (!httpServletResponse.isCommitted()) {
            if (clientErrorPage != null) {
                // Put exception into request scope (perhaps of use to a view)
                httpServletRequest.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);

                // Set the 403 status code.
                httpServletResponse.setStatus(HttpServletResponse.SC_FORBIDDEN);

                // forward to error page.
                RequestDispatcher dispatcher = httpServletRequest.getRequestDispatcher(clientErrorPage);
                dispatcher.forward(httpServletRequest, httpServletResponse);
            } else {
                httpServletResponse.sendError(HttpServletResponse.SC_FORBIDDEN, accessDeniedException.getMessage());
            }
        }

    }

    private String clientErrorPage;

    public void setClientErrorPage(String clientErrorPage) {

        if((clientErrorPage != null)&&!clientErrorPage.startsWith("/")){
            throw new IllegalArgumentException("errorPage must begin with '/'");
        }
        this.clientErrorPage = clientErrorPage;
    }


}

 

如上几步就可以成功配置双重拦截了   
 


 
 

 


                

        

        

    




    

      

        

            

              
                
                  二蛋和他的大花
                
              
            

            

                关注
              
            

        

        

          
    
            
  • 
              
                
                
                
                
                      0
                
              
              
    点赞
    
            
    • 
            
  • 
              
                
                
                
              
              
    
            
    • 
            
  • 
              
                
                
                
                
                    1
                
              
              
    
                
    
                  
                    收藏
                  
                
    
              
    
              
    
                
    
                  觉得还不错?
                  
                    一键收藏
                  
                 
                
    
              
    
            
    • 
                
  • 
                  
                    打赏
                    
                  
                  
    打赏
    
                
    • 
          
  • 
            
    
              
              
            
    
              
              
              
                  1
              
            
            
    评论
    
          
    • 
          
  • 
          
    • 
          
  • 
            
              
            
              
    
            
              
                
            
    
          
    • 
        

      

      

            

                专栏目录
          










                



	

		

			

				
					
spring security 使用 application/json 接收数据

				
			

			

				

					weixin_34246551的博客
				

				

					06-13
					
					1647
					
				

			

		

		

			
				
spring security 使用 application/json 接收数据

不了解 security 的请看 security 的简单使用
https://blog.51cto.com/5013162/2404946

在使用 spring security 登录用户的时候 发现使用 application/josn 后台不能获取到数据看 UsernamePasswordAuthentic...

			
		

	



                

              
                



	

		

			

				
					
Spring Security快速上手

				
			

			

				

					qq_39368007的博客
				

				

					01-01
					
					233
					
				

			

		

		

			
				
Spring Security介绍


Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。

由于它是Spring生态系统中的一员,因此它伴随着整个Spring生态系统不断修正、升级,

在spring boot项目中加入spring security更是十分简单,

使用Spring Security 减少了为企业系统安全控制编写大量重复代码的工作。

创建工程

创建maven工程
创建maven工程 security-spring-se

			
		

	



                


  
              

                


	

		

			

				
					
SpringSecurity自定义登录接口

					
最新发布

				
			

			

				

					奔跑的大猪蹄子
				

				

					05-28
					
					317
					
				

			

		

		

			
				
【代码】SpringSecurity自定义登录接口

			
		

	





	

		

			

				
					
java-security拦截时同时调用多个接口,其中随机部分接口校验不通过问题的定位和解决

				
			

			

				

					ToryXu的博客
				

				

					04-09
					
					851
					
				

			

		

		

			
				
前言:
又是普通的一天。最近在搞权限配置,用的是Spring security,token是用的jwt,通过服务中心签发token,业务层进行权限的配置。
问题:
权限这块配置上去了,发现在同时调用多个请求的时候,经常会有1到n个接口报错,报错显示是认证未通过。并且单个接口测试都没问题。
先说最终的问题原因:
由于每次作token校验的时候,会使用jjwt的parse方法进行解析, 解析时需要传入...

			
		

	



		

			
		



	

		

			

				
					
spring security 使用 application/json 接收数据出现的问题 同一用多次登录之后出现能获取到其他用户的数据

				
			

			

				

					Aoikkkk的博客
				

				

					08-07
					
					523
					
				

			

		

		

			
				
spring security 使用 application/json 接收数据出现的问题 同一用多次登录之后出现能获取到其他用户的数据解决方法
原帖 https://blog.csdn.net/weixin_34246551/article/details/92173671
原帖是通过继承UsernamePasswordAuthenticationFilter类 ,并重写obtainPassword(HttpServletRequest request) 和 obtainUsername(HttpServ

			
		

	





	

		

			

				
					
spring security 3中关于ajax的处理

				
			

			

				

					yuolligeng的专栏
				

				

					07-05
					
					332
					
				

			

		

		

			
				
spring security 3中,对于某些需要保护的url,可以很容易地实现当没权限的时候, 
redirect到一个页面(比如自定义的404.jsp页面)进行显示没权限的信息; 
但有的时候,必须要对一些AJAX的请求url也同时判断其是否有权限输出; 
如果没权限的话,一般要以JSON的方式返回给用户端,比如弹出一个提示框,显示没权限; 
   在SPRING security

			
		

	





	

		

			

				
					
spring-api文档-4.1.4.chm格式

				
			

			

				

					03-31
				

			

		

		

			
				
CHM文件名为"spring-framework-4.1.4.RELEASE.CHM",意味着它包含了Spring框架4.1.4发布版的所有接口、类、方法和注解的详尽说明。  Spring框架是一个开源的应用程序框架,主要用于Java平台,尤其在企业级应用开发中...

			
		

	





	

		

			

				
					
spring-framework-4.1.4.RELEASE的api的chm版本

				
			

			

				

					01-31
				

			

		

		

			
				
spring-framework-4.1.4.RELEASE的api的chm版本

			
		

	





	

		

			

				
					
Spring framework 4.1.4.release libs

				
			

			

				

					01-11
				

			

		

		

			
				
这里是SPRING FRAMEWORK 4.1.4.release包的集合。SPRING官网建议使用MAVEN进行管理,但是有时候会出现连接不上的情况。这种情况就可以通过单独下载JAR包来实现了。不过网上好像很难找到直接的下载集合,特别是包含...

			
		

	





	

		

			

				
					
spring-framework-4.1.4.RELEASE-dist.rar

				
			

			

				

					01-23
				

			

		

		

			
				
5. **Web MVC增强**:Spring的Web MVC模块在4.1.4中继续得到增强,包括请求映射、视图解析和拦截器的改进。新的`@RequestMapping`注解允许更细粒度的控制,同时支持了HTTP方法的别名。  6. **测试框架改进**:Spring...

			
		

	





	

		

			

				
					
spring-framework-4.1.4.release-schema

				
			

			

				

					01-11
				

			

		

		

			
				
在4.1.4.RELEASE版本中,Spring引入了对XML配置的Schema支持,这极大地提高了配置的清晰度和可读性。Schema文件是用于验证XML文档结构的规则集,它们定义了元素、属性及其约束,确保了配置文件的正确性。  在这个...

			
		

	





	

		

			

				
					
springSecurity双模认证

				
			

			

				

					06-16
				

			

		

		

			
				
同时支持基于客户端证书和表单登录的认证,详细参考http://blog.csdn.net/xiejx618/article/details/51691809

			
		

	





	

		

			

				
					
SpringMVC的拦截

				
			

			

				

					二十四桥明月夜的博客
				

				

					01-03
					
					356
					
				

			

		

		

			
				
文章目录一、拦截器简介1、拦截器定义以实现**HandlerInterceptor接口**为例:这三个方法的具体描述:2、拦截器的配置分析:二、拦截器的执行流程1、单个拦截器的执行流程简单使用1、创建控制器2、创建拦截器3、在springmvc中配置4、启动Tomcat服务器5、分析2、多个拦截器的执行流程简单使用1、创建拦截器类2、配置springmvc3、启动Tomcat服务器4、分析三、案例:用户登录权限验证
一、拦截器简介
1、拦截器定义
SpringMVC中的拦截器(Interceptor)类似于

			
		

	





	

		

			

				
					
spring security session ajax,Spring security 4 - Ajax request and session timeout

				
			

			

				

					weixin_34550555的博客
				

				

					08-05
					
					126
					
				

			

		

		

			
				
Hi,I found the solution. Missed one things and fixed it, its working now.This is not the great solution but you can proceed and try out different option.spring-security.xmlIn  tag:Create new bean of f...

			
		

	





	

		

			

				
					
java ajax 登陆验证,Spring Security4实例(Java config版)——ajax登录,自定义验证

				
			

			

				

					weixin_29147045的博客
				

				

					03-13
					
					172
					
				

			

		

		

			
				
本文源码请看这里首先添加起步依赖(如果不是springboot项目,自行切换为Spring Security依赖)org.springframework.bootspring-boot-starter-security编写MyUserDetails类(在这里增加一个userId字段),实现UserDetails接口public class MyUserDetails implements User...

			
		

	





	

		

			

				
					
Spring Security实现HTTP Digest认证和同帐号多次登录限制

				
			

			

				

					Stay Hungury Stay Foolish
				

				

					09-22
					
					510
					
				

			

		

		

			
				
Spring Security的前身是Acegi,实际上要实现HTTP Digest认证可以不必采用Spring Security,而是直接使用Tomcat 容器提供的HTTP Digest认证功能即可,只是考虑到系统的扩展性和更多的可控性,最终决定采用Spring Security,在Javascript XMLHttpRequest与Spring Security配合实现具有鉴权认证功能的系统...

			
		

	





	

		

			

				
					
spring security - 自定义登陆

				
			

			

				

					ChinFeng的专栏
				

				

					11-26
					
					6828
					
				

			

		

		

			
				
直接上代码
1.ServletInitializer.java

package net.chinfeng.test.springsecurity.config;

import javax.servlet.ServletContext;
import javax.servlet.ServletException;

import org.springframework.web.filter.

			
		

	





	

		

			

				
					
Spring Security 4.X xml配置 session 超时处理(http、ajax)

				
			

			

				

					qq519805712的专栏
				

				

					05-25
					
					1881
					
				

			

		

		

			
				
处理Spring Security 在session超时进行界面跳转

			
		

	





	

		

			

				
					
spring 4.1.4.releas

				
			

			

				

					01-27
				

			

		

		

			
				
除此之外,Spring 4.1.4还对Spring MVC、Spring Data、Spring Security等模块进行了更新和改进,使得开发人员能够更加方便地使用这些模块来构建复杂的应用程序。同时,Spring 4.1.4也提供了对最新的Java版本的支持,...

			
		

	



              



  
“相关推荐”对你有帮助么?

  

      
    
          
  • 
              
    
                  
                  
              
    
              
    非常没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    没帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    一般
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    有帮助
    
          
    • 
          
  • 
              
    
                  
                  
              
    
              
    非常有帮助
    
          
    • 
      

      

      

          
          提交
      

      

  




          




        



    





    



      

      

        
      

      





	

		
评论 1

	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
二蛋和他的大花

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值