SpringSecurity 进行自定义Token校验

最新推荐文章于 2024-10-21 10:01:44 发布
最新推荐文章于 2024-10-21 10:01:44 发布
阅读量3.6k 收藏 4
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/blaketairan/p/8970784.html
版权
本文介绍了在Spring Security中如何进行自定义Token校验,适用于需要使用Token进行权限控制的场景。通过创建自定义的TokenAuthentication、AuthenticationTokenFilter、SecurityPermissionEvaluator以及SecurityConfig,实现了从接收请求到权限验证的全过程。详细讲解了每个关键组件的作用和实现方法,为读者提供了自定义Spring Security鉴权的实践参考。
摘要由CSDN通过智能技术生成

背景

Spring Security默认使用「用户名/密码」的方式进行登陆校验,并通过cookie的方式存留登陆信息。在一些定制化场景,比如希望单独使用token串进行部分页面的访问权限控制时,默认方案无法支持。在未能在网上搜索出相关实践的情况下,通过官方文档及个别Stack Overflow的零散案例,形成整体思路并实践测试通过,本文即关于该方案的一个分享。

参考

官方文档:https://docs.spring.io/spring-security/site/docs/5.0.5.BUILD-SNAPSHOT/reference/htmlsingle/

SpringSecurity校验流程

基本的SpringSecurity使用方式网上很多,不是本文关注的重点,如有需要可以自行搜索或参见https://blog.csdn.net/u012702547/article/details/54319508

关于校验的整个流程简单的说,整个链路有三个关键点,

  • 将需要鉴权的类/方法/url),定义为需要鉴权(本文代码示例为方法上注解@PreAuthorize("hasPermission('TARGET','PERMISSION')")
  • 根据访问的信息产生一个来访者的权限信息Authentication,并插入到上下文中
  • 在调用鉴权方法时,根据指定的鉴权方式,验证权限信息是否符合权限要求

完整的调用链建议在IDE中通过单步调试亲自体会,本文不做相关整理。

如何自定义

我的需求,是使用自定义的token,验证权限,涉及到:

  • 产生Authentication并插入到上下文中
  • 针对token的验证方式

需要做的事情如下:

  • 自定义TokenAuthentication类,实现org.springframework.security.core.Authenticaion,作为token权限信息
  • 自定义AuthenticationTokenFilter类,实现javax.servlet.Filter,在收到访问时,根据访问信息生成TokenAuthentication实例,并插入上下文
  • 自定义SecurityPermissionEvalutor类,实现org.springframework.security.access.PermissionEvaluator,完成权限的自定义验证逻辑
  • 在全局的配置中,定义使用SecurityPermissionEvalutor作为权限校验方式

TokenAuthentication.java

/**
 * @author: Blaketairan
 */

impo
最低0.47元/天 解锁文章
Angela㐅cc
关注
25. Spring Boot 2.x 最佳实践之 Spring Security+ Swagger+自定义拦截器Token权限校验
极客星云-CSDN博客
05-17 2594
这篇博文来总结下Spring Boot 2.x+ Spring Security+ 自定义拦截器实现带Token权限控制最佳实战攻略.
Spring Security 自定义认证逻辑
wdjnb的博客
01-21 617
分析问题 以下是 Spring Security 内置的用户名/密码认证的流程图,我们可以从这里入手: 根据上图,我们可以照猫画虎,自定义一个认证流程,比如手机短信码认证。在图中,我已经把流程中涉及到的主要环节标记了不同的颜色,其中蓝色块的部分,是用户名/密码认证对应的部分,绿色块标记的部分,则是与具体认证方式无关的逻辑。 因此,我们可以按照蓝色部分的类,开发我们自定义的逻辑,主要包括以下内容: 一个自定义的Authentication实现类,与UsernamePasswordAuthen...
spring security 自定义token无法通过框架认证
菜鸟联盟
08-06 646
自定义token和refreshToken,如代码所示: UserDO userDO = userMapper.getByName(username); UserDetails userDetails = userService.loadUserByUsername(userForBase.getName()); String token = jwtTokenComponent.generateToken(
Spring Security OAuth2 自定义(增强)token信息
qq_36551991的博客
12-05 1708
Spring Security OAuth2提供了默认的token生成方式,但是有时候我们需要token携带一些我们自定义的信息,例如用户名、id等,这就需要我们自定义token信息
Spring Security基于token的极简示例
D_J_Dragon的博客
08-30 1029
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架,但是用起来有点复杂,为了便于学习理解,下面将用最简洁的配置和示例,展示整个流程。
前后端分离架构 -- SpringSecurity用法+自定义token校验
weixin_44795847的博客
02-11 4139
前后端分离架构 -- SpringSecurity用法+自定义token校验
Spring Security | Oauth2 /oauth/token自定义授权实现底层源码浅析与实现
maple05的博客
03-06 2551
创建授权处理类需要继承TokenGranter来实现自定义授权方式,查看TokenGranter实现类的列表,这里选择使用AbstractTokenGranter,而AbstractTokenGranter是一个抽象类,需要继承这个类才能达到我们的目的。根据AbstractTokenGranter调用关系,我们主要重写getOAuth2Authentication就可以达到我们的目的了。自定义授权类demo。
Spring Security 使用JWT自定义Token
lizhengyu891231的博客
11-02 2313
转载自:https://zhouze-java.github.io/2019/09/10/Spring-Security-29-%E4%BD%BF%E7%94%A8JWT%E6%9B%BF%E6%8D%A2%E9%BB%98%E8%AE%A4%E7%9A%84Token/ 叙述 默认的token生成规则其实就是一个UUID,就是一个随机的字符串,然后存到redis中去,使用JWT的话,toke...
spring security多种校验方式及自实现token总结
earthsomeday的博客
05-18 7166
最近项目上运用到了spring security来控制控制权限,然而钉钉端采用的前后端分离的模式进行开发,pc端未采用前后端分离。这样就出现了两个问题: 1.钉钉前端无法携带JSSESSIONID,从而导致spring security框架无法自动解析权限,需要自行实现token并存入redis。 2.钉钉端需要使用手机号码免密登录,pc端需要账号密码进行登录。 功能完成后,此处做个总结。 在Se...
SpringSecurity自定义登录认证
qq_36655073的博客
05-21 1133
前言 为啥要写这篇呢?昨天写了个security+jwt做token令牌及鉴权,其中登录认证是用自己的方法做的,只使用了授权校验,并没有用spring-security的登录认证。今天刚好有个水友碰到了登录认证的相关问题,帮忙解决后也在这里记一笔,方便以后回忆!!! 解决思路 自定义一个登录认证处理器 注入到security的登录认证管理器中(可以支持多个) 登录接口中,使用认证管理器进行登录认证(认证时会使用策略模式进行适配) 认证成功后,做一些业务处理(结合原有的token逻辑) 搞起来 1 自
Spring security 自定义 token 身份验证
最新发布
让 Java 再次伟大!
10-21 425
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
3.Spring Security实现JWT token验证,GrantedAuthority接口,权限注解(@prePostEnabled、@Secured、@jsr250E)
相互学习 共同进步
04-24 3842
Component@Autowired/*** hasPermission鉴权方法* 这里仅仅判断PreAuthorize注解中的权限表达式* 实际中可以根据业务需求设计数据库通过targetUrl和permission做更复杂鉴权* 当然targetUrl不一定是URL可以是数据Id还可以是管理员标识等,这里根据需求自行设计* @Param authentication 用户身份(在使用hasPermission表达式时Authentication参数默认会自动带上)
SpringSecurityOAuth2(3)自定义token信息
07-31 1829
GitHub地址 码云地址 OAuth2默认的token返回最多只携带了5个参数(client_credentials模式只有4个 没有refresh_token)下面是一个返回示例: { "access_token": "1e93bc23-32c8-428f-a126-8206265...
SpringSecurity 实现token 认证
qq_45535340的博客
06-07 4645
实现token 认证
spring security 实现自定义认证和登录(4):使用token进行验证
qq_45691577的博客
03-06 3903
前面我们实现了给客户端下发token,虽然客户端拿到了token,但我们还没处理客户端下一次携带token请求时如何验证,我们想要实现拿得到token之后,只需要验证token,不需要用户再携带用户名和密码了。
Spring Security Oauth2 自定义授权方式获取token
Murpny的博客
12-19 3846
通过密码模式授权流程分析可以知道以下两部分内容: 第一部分:关于授权类型 grant_type 的解析 每种 grant_type 都会有一个对应的 TokenGranter 实现类。 所有 TokenGranter 实现类都通过 CompositeTokenGranter 中的 tokenGranters 集合存起来。 然后通过判断 grantType 参数来定位具体使用那个 TokenGranter 实现类来处理授权。 第二部分:关于授权登录逻辑 每种 授权方式 都会有一个对应的 Authent.
spring security token认证_Spring Security 中的身份认证
weixin_39755952的博客
12-08 698
本文介绍 Spring Security 的身份认证的内容,研究 Spring Security 自带的身份认证方式和添加自己的身份认证方式的方法。身份认证相关组件在上一篇文章中,我们了解到了 Spring Security 会将 DelegatingFilterProxy 插入到 Servlet Filter Chain 中,然后将要过滤的请求通过 FilterChainProxy 代理给匹配的...
Spring Security + JWT 实现基于Token的安全验证
m0_56282664的博客
07-21 1250
Spring Security + JWT 实现基于Token的安全验证
SpringSecurity 校验token
08-30
需要注意的是,具体的token校验逻辑和存储方式可以根据项目需求进行自定义实现。<span class="em">1</span><span class="em">2</span><span class="em">3 #### 引用[.reference_title] - *1* [SpringSecurity]...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值