spirng-boot中,基于既有的token验证方式,利用spring-security实现权限系统

最新推荐文章于 2021-08-21 22:27:14 发布
最新推荐文章于 2021-08-21 22:27:14 发布
阅读量234 收藏
点赞数
文章标签: java
原文链接:https://segmentfault.com/a/1190000007751220
版权

spirng-boot中,基于既有的token验证方式,利用spring-security实现权限系统

用过spring-security的都应该能感觉到,spring-security把authentication和authorization封装的比较死。默认的authorization是基于session的。利用session验证过的信息,保存进SecurityContext,权限系统再根据SecurityContext保存的用户权限相关信息,来进行权限管理。

但是在目前的场景中,服务器端往往要满足多端的验证方式,session的方式不容易和移动端配合的好。更多的是用一个token放在http header中进行验证。这种就需要绕开spring-security默认的authentication直接利用它的authorization。

在这里我演示一个在spring-security做方法级别拦截的方案。

这里就是基于token的spring-boot安全拦截配置

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@Order(1)
public class TokenBasedSecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) {
        try {
            http.addFilterBefore(... SecurityContextPersistenceFilter.class);

            http.securityContext().securityContextRepository(new SecurityContextRepository() {
                @Override
                public SecurityContext loadContext(HttpRequestResponseHolder requestResponseHolder) {
                    ...
                }

                @Override
                public void saveContext(SecurityContext context, HttpServletRequest request, HttpServletResponse response) {
                    ...
                }

                @Override
                public boolean containsContext(HttpServletRequest request) {
                    ...
                }
            });
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

在这里,我们要做的其实就是设置重在SecurityContextRepository。这个实体在spring security启动中要传递给SecurityContextPersistenceFilter。这个filter根据request来加载SecurityContext。而SecurityContextPersistenceFilter就是从其内部的SecurityContextRepository来加载SecurityContext的。所以我们就需要重载上面代码中的三个方法,根据request来构造SecurityContext

我们再来看一下SecurityContext到底封装了什么。

public interface SecurityContext extends Serializable {

    Authentication getAuthentication();

    void setAuthentication(Authentication authentication);
}

Authentication而已。

public interface Authentication extends Principal, Serializable {

Collection<? extends GrantedAuthority> getAuthorities();

Object getCredentials();

Object getDetails();

Object getPrincipal();

boolean isAuthenticated();

void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

在这里我们还要构造一个机遇token的Authentication接口的实现。在实现中对于权限来说很有用的就是getAuthorities方法。我们只要给其封装最简单的SimpleGrantedAuthority就好了。

这样我们就可以给我们的Controller方法做拦截了~

@RestController
@RequestMapping(value = "test")
public class TestController {

    @PreAuthorize("hasAuthority('super_admin')")
    @RequestMapping(value = "hello", method = RequestMethod.GET)
    public String superHello(@RequestParam String domain) {
        return new String("super hello");
    }
}

文章原载于http://mrchenatu.com/2016/12/...

weixin_33912445
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringBootAdmin + SpringSecurity 安全框架完整搭建及测试验证
calvins的专栏
05-20 1713
1 相关代码 SpringBoot 版本:2.2.0.RELEASE 服务端: (1)配置文件。 server: port: 8000 spring: application: name: spring-boot-admin-server security: user: name: admin password: admin (2)pom.xml 依赖 <dependencies> <dependen..
springboot+angular项目 使用token方式进行权限验证
qq_18740893的博客
11-28 2141
一、验证过程 在登录界面填写用户名密码 在后台对用户名密码进行验证,若验证成功,后台生成token,放入 session。 前端拿到后台返回的token,存储在cookie,每次请求都将token放入请求头部 后台拦截指定请求,进行token进行验证验证成功则继续访问,验证失败则报错返回前台,前台跳转到登录界面。 二、具体实现方法(代码)博主后台验证是否登录成功的方法:if (null !
Spring Security 跳过登录检查/非页面登录/骗过spring security的 filter 登录检查拦截
Cgh_Baby的博客
08-26 7137
背景 最近在使用Spring security 做一个系统的SSO认证代理(另一个项目组开发的,基于 filter 拦截器检查session是否已有用户登录信息),如果已在SSO登录的话,则直接跳过SSO的认证。由于Spring security也是基于拦截器的,SSO的需要在拦截器在spring security的登录检查拦截器之前,在检查到SSO已登录之后需要骗过spring security的 filter 登录检查拦截器,在研究了一下spring security的源代码之后,发现spri...
SpringBootAdmin集成Turbine、使用Spring Boot Security添加安全验证
吴声子夜歌的博客
05-24 1100
SpringBootAdmin集成Turbine Hystrix Dashboard是一个监控熔断器状况的组件,而Turbine是一个可以聚合多个HystrixDashboard的组件。在Spring Boot Admin ,可以很方便地集成Turbine组件。集成Turbine组件非常简单,只需要引入相关的依赖并做简单的配置即可。 首先需要两个Eureka Client 工程,在这两个Eureka Client的工程实现Hystrix熔断器和Hystrix Dashboard组件。然后,需要一个Tur
spring security过滤器链及认证流程
塞北的荒烟的博客
10-21 900
一、过滤器链 spring Security功能的实现主要是由一系列过滤器链相互配合完成。 下面介绍过滤器链主要的几个过滤器及其作用: 1.SecurityContextPersistenceFilter 会在请求开始时从配置好的 SecurityContextRepository 获取 SecurityContext,然后 把它设置给 SecurityContextHolder。在请求完成后将 SecurityContextHolder 持有的 SecurityContext 再保存到配置好的 Sec
分布式工程搭建--spring cloud alibaba(spring security网关鉴权)
asdcctv882的博客
08-21 2677
Nacos-注册心搭建 1.1 注册心Nacos与Eureka对比 在此项目naocs服务器是通过mysql来进行连接的,nacos不用手动搭建服务器,对于开发者来说,上手很快。 1.2 Nacos安装和启动 nacos 的下载和启动方法请参考Nacos 官网。 在启动nacos2.01的时候,有个坑,默认启动方式是以集群的方式启动,需要修改, 直接使用命令启动 startup.sh -m standalone 1.3 注册心客户端搭建 Pom依赖导入: <dependency&.
spring-boot spring-security-oauth2 完整demo
11-22
spring-boot spring-security-oauth2 完整demo,可以使用微信的方式来获取token和查看资源,注意看代码的备注
Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例
07-12
Spring-Security结合JWT 实现前后端分离完成权限验证功能案例,案例,主要完成用户登录获取Token,通过Token访问Rest接口,没有权限或授权失败时返回JSON,前端根据状态码进行重新登录;案例的用户名称: jake_j...
Springboot集成spring-security实现基于验证码的登录认证项目源码+项目说明.7z
12-18
spring-boot-security-jwt实现动态角色管理,并集成JWT以token代替session。此版本未实现验证码登录的功能。 登录认证方式和spring-boot-security有所不同。该版本登录认证采用自定义的/auth/login方式替代security...
SpringBoot-JWT-Token:JWT令牌,Spring-Security
03-22
SpringBoot-JWT-Token:JWT令牌,Spring-Security
spring-boot-security-jwt:使用Spring Boot + Security + JWT用于REST端点的项目
01-30
发布Tomcat嵌入8.5.15 乔达日期时间2.9.9登录您可以使用两种方式登录: 1-在LoginController调用端点/ login 格式:JSON { "username" : "user" "password" : "test123"}2-调用SpringSecurity提供的端点/ ...
Spring Security + JWT 实现基于Token安全验证
huanghuitan的博客
05-16 2万+
Spring Security + JWT 实现基于token安全验证 准备工作 使用Maven搭建SpringMVC项目,并加入Spring Security实现 参考: Spring SecurityJWT官网 JWT简介 参考:JWT简介 JWT的结构 JWT包含了使用 . 分隔的三部分: 1.Header 头部,
springboot + spring security验证token进行用户认证
热门推荐
孟林洁的博客
11-23 6万+
核心组件 SecurityContextHolder SecurityContextHolder是spring security最基本的组件。用于存储安全上下文(security context)的信息。当前操作的用户是谁,该用户是否已经被认证,他拥有哪些角色权限等这些都被保存在SecurityContextHolderSecurityContextHolder默认是使用ThreadLoc...
关于springSecurity
xiejx618的专栏
04-13 2299
保存请求与移除请求//save request org.springframework.security.web.access.ExceptionTranslationFilter#doFilter{ handleSpringSecurityException(request, response, chain, ase); } org.springframework.security.web.acc
Spring Security Web 5.1.2 源码解析 -- HttpSessionSecurityContextRepository
Details Inside Spring
12-02 5649
Spring Security Web提供的类HttpSessionSecurityContextRepository是一个SecurityContextRepository接口的实现,用于在HttpSession保存安全上下文(security context),这样属于同一个HttpSession的多个请求,就能够利用此机制访问同一安全上下文了。 package org.springfram...
Springboot实现filter拦截token验证和跨域
牧竹子
10-14 5万+
背景web验证授权合法的一般分为下面几种 1使用session作为验证合法用户访问的验证方式 使用自己实现token 使用OCA标准 在使用API接口授权验证时,token是自定义的方式实现起来不需要引入其他东西,关键是简单实用。合法登陆后一般使用用户UID+盐值+时间戳使用多层对称加密生成token并放入分布式缓存设置固定的过期时间长(和session的方式有些相同),这样当用户访问时使用to
SpringBoot+SpringSecurity处理Ajax登录请求
weixin_33968104的博客
12-20 2235
最近在项目遇到了这样一个问题:前后端分离,前端用Vue来做,所有的数据请求都使用vue-resource,没有使用表单,因此数据交互都是使用JSON,后台使用Spring Boot权限验证使用了Spring Security,因为之前用Spring Security都是处理页面的,这次单纯处理Ajax请求,因此记录下遇到的一些问题。这...
springboot 按钮权限验证_spirng-boot,基于既有token验证方式利用spring-security实现权限系统...
weixin_36485371的博客
01-14 90
spirng-boot,基于既有token验证方式利用spring-security实现权限系统用过spring-security的都应该能感觉到,spring-security把authentication和authorization封装的比较死。默认的authorization是基于session的。利用session验证过的信息,保存进SecurityContext,权限系统再根据Se...
Spring-Boot结合Security+JWT
最新发布
09-07
这样,你就可以在Spring Boot应用程序使用Spring Security和JWT来实现认证和授权了。当用户登录时,会生成一个JWT,并在以后的请求使用该JWT进行身份验证。 请注意,以上代码只是一个简单的示例,你可能需要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值