Spring Boot - Filter实现简单的Http Basic认证

最新推荐文章于 2021-11-16 11:17:48 发布
最新推荐文章于 2021-11-16 11:17:48 发布
阅读量190 收藏
点赞数
文章标签: java json
原文链接:http://www.cnblogs.com/teamleader/p/6505933.html
版权

Copy自http://blog.csdn.net/sun_t89/article/details/51916834

@SpringBootApplication
public class SpringRestApplication { 
public static void main(String[] args) { 
        SpringApplication.run(SpringRestApplication.class, args); 
    } 
@Bean
public FilterRegistrationBean  filterRegistrationBean() { 
        FilterRegistrationBean registrationBean = new FilterRegistrationBean(); 
        HTTPBasicAuthorizeAttribute httpBasicFilter = new HTTPBasicAuthorizeAttribute(); 
        registrationBean.setFilter(httpBasicFilter); 
        List<String> urlPatterns = new ArrayList<String>(); 
        urlPatterns.add("/user/*"); 
        registrationBean.setUrlPatterns(urlPatterns); 
return registrationBean; 
    } 

public class HTTPBasicAuthorizeAttribute implements Filter{
    private static String Name = "test";
    private static String Password = "test";

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
            throws IOException, ServletException {
        // TODO Auto-generated method stub
       
        ResultStatusCode resultStatusCode = checkHTTPBasicAuthorize(request);
        if (resultStatusCode != ResultStatusCode.OK)
        {
            HttpServletResponse httpResponse = (HttpServletResponse) response;
            httpResponse.setCharacterEncoding("UTF-8"); 
            httpResponse.setContentType("application/json; charset=utf-8");
            httpResponse.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

            ObjectMapper mapper = new ObjectMapper();
           
            ResultMsg resultMsg = new ResultMsg(ResultStatusCode.PERMISSION_DENIED.getErrcode(), ResultStatusCode.PERMISSION_DENIED.getErrmsg(), null);
            httpResponse.getWriter().write(mapper.writeValueAsString(resultMsg));
            return;
        }
        else
        {
            chain.doFilter(request, response);
        }
    }

    @Override
    public void init(FilterConfig arg0) throws ServletException {
        // TODO Auto-generated method stub       
    }   

    @Override
    public void destroy() {
        // TODO Auto-generated method stub
    }


    private ResultStatusCode checkHTTPBasicAuthorize(ServletRequest request)
    {
        try
        {
            HttpServletRequest httpRequest = (HttpServletRequest)request;
            String auth = httpRequest.getHeader("Authorization");
            if ((auth != null) && (auth.length() > 6))
            {
                String HeadStr = auth.substring(0, 5).toLowerCase();
                if (HeadStr.compareTo("basic") == 0)
                {
                    auth = auth.substring(6, auth.length()); 
                    String decodedAuth = getFromBASE64(auth);
                    if (decodedAuth != null)
                    {
                        String[] UserArray = decodedAuth.split(":");
                       
                        if (UserArray != null && UserArray.length == 2)
                        {
                            if (UserArray[0].compareTo(Name) == 0
                                    && UserArray[1].compareTo(Password) == 0)
                            {
                                return ResultStatusCode.OK;
                            }
                        }
                    }
                }
            }
            return ResultStatusCode.PERMISSION_DENIED;
        }
        catch(Exception ex)
        {
            return ResultStatusCode.PERMISSION_DENIED;
        }       
    }
   
    private String getFromBASE64(String s) { 
        if (s == null) 
            return null; 
        BASE64Decoder decoder = new BASE64Decoder(); 
        try { 
            byte[] b = decoder.decodeBuffer(s); 
            return new String(b); 
        } catch (Exception e) { 
            return null; 
        } 
    }

转载于:https://www.cnblogs.com/teamleader/p/6505933.html

weixin_30491641
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring-boot-security:Spring启动安全
05-15
当我们在项目中引入`spring-boot-starter-security`依赖后,它会自动配置许多默认的安全设置,如HTTP Basic认证、CSRF保护等。 2. **Web安全基础**:Spring Security提供了对HTTP请求的拦截机制,例如使用`@...
springboot+ spring security实现登录认证
05-04
SpringBoot结合Spring Security实现登录认证是企业级应用开发中常见的安全框架组合,它们为Web应用程序提供了强大的安全性。本文将深入探讨这两个技术的核心概念、配置以及如何整合以实现用户登录认证功能。 ...
Spring Boot实战之Filter实现简单Http Basic认证(*)
weixin_42408447的博客
11-16 977
Spring Boot实战之Filter 1.Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以在离开 servlet时处理response.换种说法,filter其实是一个”servlet chaining”(servlet 链). 一个Filter包括: 1)在servlet被调用之前截获; 2)在servl
Spring Boot 实战之Filter实现简单Http Basic认证
【欢迎关注公众号:冬瓜白】
10-27 513
Spring Boot实战之Filter 本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单Http Basic认证 1、Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是一个servlet,它不能产生一个response,它能够在一个request到达servlet之前预处理request,也可以
Java全栈工程师-Spring Security
07-21
由浅入深讲解从搭建Spring Security认证授权应用,到Spring Security底层过滤器原理 本课程讲解Spring Security三种使用方案:独立使用,整合SSM框架用法,和整合SpringBoot的用法 本课程讲解Spring Security结合数据库的RBAC表进行动态的用户认证和授权的实现过程
Spring Boot实战之Filter实现简单Http Basic认证
热门推荐
sun_t89的专栏
07-15 4万+
Spring Boot实战之Filter 本文在上一篇文章http://blog.csdn.net/sun_t89/article/details/51912905 的基础上,给每个rest接口上添加过滤器,使用过滤器实现简单Http Basic认证 1、Filter功能 filter功能,它使用户可以改变一个 request和修改一个response. Filter 不是
BasicHttpAuthenticationFilter 认证流程
“罐装面包”的博客
06-19 1万+
BasicHttpAuthenticationFilter 继承自抽象类OncePerRequestFilter,OncePerRequestFilter 的字面意思是:Once Per Request,每个请求只执行一次。 OncePerRequestFilter 过滤流程: (1) 调用getAlreadyFilteredAttributeName(),本质上就是通过 Class 对象再加上一个后缀形成一个 attribute 字符串返回。 protected String getAlrea..
spring-security-demo-02-basic-security:Spring Security演示基本安全性
04-24
3. **过滤器链(Filter Chain)**:Spring Security的核心是其过滤器链,它处理HTTP请求并应用安全策略。例如,`HttpSessionAuthenticationFilter`处理登录,`AnonymousAuthenticationFilter`为未认证用户提供匿名...
确保rest-api-spring-security:Spring Boot 2.2.x + Spring 5.2.x Rest Api安全示例
01-30
Spring Security是一个强大的、高度可配置的安全框架,专为JavaSpring应用设计,它允许开发者轻松地实现认证(Authentication)和授权(Authorization)功能。在这个示例中,我们将探讨如何在Spring Boot 2.2.x...
Spring security-包含官方文档
10-24
同时,Spring Boot 的自动配置功能可以让设置变得更加简单。 10. **OAuth2支持**:Spring Security 提供了对OAuth2的全面支持,可以用于构建资源服务器、授权服务器,以及客户端应用。 在Spring-security-4.2.8....
Spring-boot添加Interceptor进行认证验证
Standup-jb的博客
11-13 2万+
个人开发的基于内存的请求监控系统。欢迎star和一同参与。https://github.com/standup-jb/tortoise 背景:自己在做一个Agile的管理系统,需要做到用户认证和页面拦截跳转。所以需要验证是否有Session和Cookie的信息。如果没有就重新定向到登录页面,然后为了这个问题各种在网上找解决方法,说到这里真的很生气呀。网上大家写博客真的是内容参差不齐,很多博客即不...
springboot Basic Auth 暴露API 访问认证
亲测,只为展现最完美的有效!
04-17 5831
因为 Basic Auth 的身份信息是卸载请求中,被截获账号密码可能会泄露,为此增加一重ip认证 在实际应用中,可能会用spring boot 写一些微服务去做底层的一些预处理,然后再开放一些接口传输数据。为了安全,同城要做一些访问的认证,也不用选太复杂的认证方式,就用Basic Auth就可以,再在此基础上再做一些认证,比如这里的ip。 为此,需要两个方面的思考 1、如何做...
spring boot 中混合使用form login和http basic
hz_1943的专栏
04-15 6078
form login用于页面登录,http basic用于Web Service API。 官方文档http://docs.spring.io/spring-security/site/docs/4.2.3.BUILD-SNAPSHOT/reference/htmlsingle/#multiple-httpsecurity 一开始出现的问题是http basic不起作用,form login也
springbootspringSecurity 之 http Basic认证 (四)
勇往直前的专栏
03-07 2960
引言: HTTP基础认证(BA)是一种简单认证机制。当一个web客户端需要保护任何web资源的时候,服务器会发送一个带有401状态码(未授权)的HTTP回应,还有类似WWW-Authenticate: Basic realm=”realm here” 的 WWW-Authenticate HTTP头。而浏览器这时候就会弹出一个登录对话框,提示输入用户名和密码。 1. 修改配置 在sprin...
SpringBoot基于@ControllerAdvice配置全局异常处理
琦彦
12-19 3万+
我们在做Web应用的时候,请求处理过程中发生错误是非常常见的情况。Spring Boot提供了一个默认的映射:/error,当处理中抛出异常之后,会转到该请求中处理,并且该请求有一个全局的错误页面用来展示异常内容。 启动SpringBoot应用,访问一个不存在的URL,或是修改处理内容,直接抛出异常,如: @RequestMapping("/hello") public S...
springboot在过滤器类Filter中返回前端信息
大海无量的博客
04-12 1万+
/** * @description:jwt过滤器 * @author: Administrator * @date: 2019-03-27 13:20 */ public class JwtFilter extends BasicHttpAuthenticationFilter { @Override protected boolean executeLogin(Servlet...
spring boot 项目在Filter中抛出异常处理方法
youshouyiqi的专栏
01-18 1万+
spring boot 项目在Filter中抛出异常,使用@ControllerAdvice+@ExceptionHandler无法处理,处理方法如下: 自己创建Controller继承BasicErrorController,具体实现 @RestController @Api(value = "filter错误处理", description = "filter错误处理") public ...
如何在Spring Security中配置自动刷新令牌?
最新发布
06-27
Spring Security中,自动刷新令牌通常涉及到使用JWT(JSON Web Tokens)作为身份验证机制,以及一个适当的刷新令牌策略。以下是一般的步骤: 1. 添加依赖:首先,在你的`pom.xml`或`build.gradle`文件中添加Spring Security JWT和相关库的依赖。 ```xml <!-- Maven --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> </dependency> <!-- Gradle (Gradle Plugin) --> implementation 'org.springframework.boot:spring-boot-starter-security' implementation 'io.jsonwebtoken:jjwt-api' implementation 'io.jsonwebtoken:jjwt-impl:0.9.1' // 实际版本可能根据项目需求不同 ``` 2. 配置JWT:创建一个JWTTokenProvider,并在SecurityConfig中设置JWT相关的属性,如过期时间(access_token过期时间和refresh_token过期时间)和签发者。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtTokenProvider jwtTokenProvider; @Bean public JwtAuthenticationProvider jwtAuthenticationProvider() { JwtAuthenticationProvider provider = new JwtAuthenticationProvider(jwtTokenProvider); provider.setJwtIdClaimName("sub"); return provider; } @Bean public JwtTokenProvider jwtTokenProvider() { return new JwtTokenProvider(); } @Override protected void configure(HttpSecurity http) throws Exception { // 更多的Security配置... http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated() .and() .httpBasic().disable() .cors().disable() .addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class); } @Bean public FilterRegistrationBean jwtAuthenticationFilter() { JwtAuthenticationFilter filter = new JwtAuthenticationFilter(authenticationManager()); filter.setTokenEnhancer(tokenEnhancer()); return new FilterRegistrationBean<>(filter); } private TokenEnhancer tokenEnhancer() { return accessToken -> { // 在这里处理token刷新逻辑,如果需要自动刷新,可以在适当时候创建新的refresh_token // 如果刷新令牌可用并且未过期,返回新的access_token // ... return accessToken; }; } } ``` 3. 刷新令牌策略:在`tokenEnhancer()`方法中,你可以检查当前的refresh_token是否有效并可以用来获取新的access_token。你可以选择一个策略,比如定期刷新(基于时间)或在access_token用尽之前刷新。 4. 使用刷新令牌:在API调用中,当用户访问受保护的资源且他们的access_token已过期时,后端服务器会检查是否有有效的refresh_token。如果有,将使用refresh_token通过JWT服务生成新的access_token并更新客户端的token缓存。 相关问题: 1. Spring Security中的JWT刷新令牌是如何工作的? 2. 如何在`tokenEnhancer()`中实现自动刷新策略? 3. 刷新令牌的存储通常在哪里?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值